Ένα σύστημα για την ανάλυση της κυκλοφορίας χωρίς την αποκρυπτογράφηση της. Αυτή η μέθοδος ονομάζεται απλά «μηχανική μάθηση». Αποδείχθηκε ότι εάν ένας πολύ μεγάλος όγκος ποικίλης κίνησης τροφοδοτηθεί στην είσοδο ενός ειδικού ταξινομητή, το σύστημα μπορεί να ανιχνεύσει τις ενέργειες κακόβουλου κώδικα μέσα στην κρυπτογραφημένη κίνηση με πολύ υψηλό βαθμό πιθανότητας.
Οι διαδικτυακές απειλές έχουν αλλάξει και έχουν γίνει πιο έξυπνες. Πρόσφατα, η ίδια η έννοια της επίθεσης και της άμυνας έχει αλλάξει. Ο αριθμός των εκδηλώσεων στο δίκτυο έχει αυξηθεί σημαντικά. Οι επιθέσεις έχουν γίνει πιο εξελιγμένες και οι χάκερ έχουν μεγαλύτερη εμβέλεια.
Σύμφωνα με στατιστικά στοιχεία της Cisco, κατά τη διάρκεια του περασμένου έτους, οι εισβολείς έχουν τριπλασιάσει τον αριθμό των κακόβουλων προγραμμάτων που χρησιμοποιούν για τις δραστηριότητές τους, ή μάλλον κρυπτογράφηση για την απόκρυψή τους. Είναι γνωστό από τη θεωρία ότι ο «σωστός» αλγόριθμος κρυπτογράφησης δεν μπορεί να σπάσει. Για να κατανοήσουμε τι κρύβεται μέσα στην κρυπτογραφημένη κίνηση, είναι απαραίτητο είτε να την αποκρυπτογραφήσουμε γνωρίζοντας το κλειδί, είτε να προσπαθήσουμε να την αποκρυπτογραφήσουμε χρησιμοποιώντας διάφορα κόλπα, είτε απευθείας hacking, είτε χρησιμοποιώντας κάποιου είδους τρωτά σημεία στα κρυπτογραφικά πρωτόκολλα.
Μια εικόνα των δικτυακών απειλών της εποχής μας
Μηχανική εκμάθηση
Γνωρίστε την τεχνολογία αυτοπροσώπως! Πριν μιλήσουμε για το πώς λειτουργεί η ίδια η τεχνολογία αποκρυπτογράφησης που βασίζεται στη μηχανική μάθηση, είναι απαραίτητο να κατανοήσουμε πώς λειτουργεί η τεχνολογία νευρωνικών δικτύων.
Η Μηχανική Μάθηση είναι μια ευρεία υποενότητα της τεχνητής νοημοσύνης που μελετά μεθόδους για την κατασκευή αλγορίθμων που μπορούν να μάθουν. Αυτή η επιστήμη στοχεύει στη δημιουργία μαθηματικών μοντέλων για την «εκπαίδευση» ενός υπολογιστή. Ο σκοπός της μάθησης είναι να προβλέψει κάτι. Στην ανθρώπινη κατανόηση, ονομάζουμε αυτή τη διαδικασία λέξη "σοφία". Η σοφία εκδηλώνεται σε ανθρώπους που έχουν ζήσει για πολύ καιρό (ένα παιδί 2 ετών δεν μπορεί να είναι σοφό). Όταν απευθυνόμαστε σε ανώτερους συντρόφους για συμβουλές, τους δίνουμε κάποιες πληροφορίες για το συμβάν (εισαγωγή δεδομένων) και τους ζητάμε βοήθεια. Αυτοί, με τη σειρά τους, θυμούνται όλες τις καταστάσεις από τη ζωή που σχετίζονται με κάποιο τρόπο με το πρόβλημά σας (βάση γνώσης) και, βάσει αυτής της γνώσης (δεδομένα), μας δίνουν ένα είδος πρόβλεψης (συμβουλής). Αυτό το είδος συμβουλών άρχισε να ονομάζεται πρόβλεψη επειδή το άτομο που δίνει τη συμβουλή δεν γνωρίζει με βεβαιότητα τι θα συμβεί, παρά μόνο υποθέτει. Η εμπειρία της ζωής δείχνει ότι ένα άτομο μπορεί να έχει δίκιο ή μπορεί να έχει άδικο.
Δεν πρέπει να συγκρίνετε τα νευρωνικά δίκτυα με τον αλγόριθμο διακλάδωσης (if-else). Αυτά είναι διαφορετικά πράγματα και υπάρχουν βασικές διαφορές. Ο αλγόριθμος διακλάδωσης έχει μια σαφή «κατανόηση» του τι πρέπει να κάνει. Θα δείξω με παραδείγματα.
Εργο. Προσδιορίστε την απόσταση πέδησης ενός αυτοκινήτου με βάση τη μάρκα και το έτος κατασκευής του.
Ένα παράδειγμα του αλγορίθμου διακλάδωσης. Εάν ένα αυτοκίνητο είναι μάρκας 1 και κυκλοφόρησε το 2012, η απόσταση φρεναρίσματος του είναι 10 μέτρα, διαφορετικά, εάν το αυτοκίνητο είναι μάρκας 2 και κυκλοφόρησε το 2011 κ.ο.κ.
Ένα παράδειγμα νευρωνικού δικτύου. Συλλέγουμε δεδομένα για τις αποστάσεις φρεναρίσματος αυτοκινήτων τα τελευταία 20 χρόνια. Ανά μάρκα και έτος, συντάσσουμε έναν πίνακα της μορφής «έτος κατασκευής-απόσταση φρεναρίσματος». Εκδίδουμε αυτόν τον πίνακα στο νευρωνικό δίκτυο και αρχίζουμε να τον διδάσκουμε. Η εκπαίδευση πραγματοποιείται ως εξής: τροφοδοτούμε δεδομένα στο νευρωνικό δίκτυο, αλλά χωρίς διαδρομή πέδησης. Ο νευρώνας προσπαθεί να προβλέψει ποια θα είναι η απόσταση πέδησης με βάση τον πίνακα που έχει φορτωθεί σε αυτόν. Προβλέπει κάτι και ρωτά τον χρήστη "Έχω δίκιο;" Πριν από την ερώτηση, δημιουργεί μια τέταρτη στήλη, τη στήλη εικασίας. Εάν έχει δίκιο, τότε γράφει 1 στην τέταρτη στήλη, αν έχει λάθος, γράφει 0. Το νευρωνικό δίκτυο προχωρά στο επόμενο συμβάν (ακόμα κι αν έκανε λάθος). Έτσι μαθαίνει το δίκτυο και όταν ολοκληρωθεί η εκπαίδευση (έχει επιτευχθεί ένα συγκεκριμένο κριτήριο σύγκλισης), υποβάλλουμε στοιχεία για το αυτοκίνητο που μας ενδιαφέρει και τελικά παίρνουμε απάντηση.
Για να καταργήσω την ερώτηση σχετικά με το κριτήριο σύγκλισης, θα εξηγήσω ότι πρόκειται για μια μαθηματικά προερχόμενη φόρμουλα για τη στατιστική. Ένα εντυπωσιακό παράδειγμα δύο διαφορετικών τύπων σύγκλισης. Κόκκινο – δυαδική σύγκλιση, μπλε – κανονική σύγκλιση.
Διωνυμικές και κανονικές κατανομές πιθανοτήτων
Για να γίνει πιο σαφές, κάντε την ερώτηση "Ποια είναι η πιθανότητα να συναντήσετε έναν δεινόσαυρο;" Υπάρχουν 2 πιθανές απαντήσεις εδώ. Επιλογή 1 – πολύ μικρό (μπλε γράφημα). Επιλογή 2 – είτε συνάντηση είτε όχι (κόκκινο γράφημα).
Φυσικά, ο υπολογιστής δεν είναι άτομο και μαθαίνει διαφορετικά. Υπάρχουν 2 τύποι εκπαίδευσης σιδερένιου αλόγου: μάθηση βάσει περιπτώσεων и απαγωγική μάθηση.
Η διδασκαλία βάσει προηγουμένου είναι ένας τρόπος διδασκαλίας με χρήση μαθηματικών νόμων. Οι μαθηματικοί συλλέγουν πίνακες στατιστικών στοιχείων, εξάγουν συμπεράσματα και φορτώνουν το αποτέλεσμα στο νευρωνικό δίκτυο - ένας τύπος υπολογισμού.
Η απαγωγική μάθηση - η μάθηση συμβαίνει εξ ολοκλήρου στον νευρώνα (από τη συλλογή δεδομένων έως την ανάλυσή του). Εδώ σχηματίζεται ένας πίνακας χωρίς τύπο, αλλά με στατιστικά.
Μια ευρεία επισκόπηση της τεχνολογίας θα χρειαζόταν άλλες δύο ντουζίνες άρθρα. Προς το παρόν, αυτό θα είναι αρκετό για τη γενική μας κατανόηση.
Νευροπλαστικότητα
Στη βιολογία υπάρχει μια τέτοια έννοια - νευροπλαστικότητα. Η νευροπλαστικότητα είναι η ικανότητα των νευρώνων (εγκεφαλικά κύτταρα) να ενεργούν «ανάλογα με την κατάσταση». Για παράδειγμα, ένα άτομο που έχει χάσει την όρασή του ακούει ήχους, μυρίζει και αισθάνεται καλύτερα τα αντικείμενα. Αυτό συμβαίνει λόγω του γεγονότος ότι το τμήμα του εγκεφάλου (μέρος των νευρώνων) που είναι υπεύθυνο για την όραση ανακατανέμει το έργο του σε άλλες λειτουργίες.
Ένα εντυπωσιακό παράδειγμα νευροπλαστικότητας στη ζωή είναι το γλειφιτζούρι BrainPort.
Το 2009, το Πανεπιστήμιο του Ουισκόνσιν στο Μάντισον ανακοίνωσε την κυκλοφορία μιας νέας συσκευής που ανέπτυξε τις ιδέες μιας "οθόνης γλώσσας" - ονομαζόταν BrainPort. Το BrainPort λειτουργεί σύμφωνα με τον ακόλουθο αλγόριθμο: το σήμα βίντεο αποστέλλεται από την κάμερα στον επεξεργαστή, ο οποίος ελέγχει το ζουμ, τη φωτεινότητα και άλλες παραμέτρους της εικόνας. Επίσης, μετατρέπει τα ψηφιακά σήματα σε ηλεκτρικές ώσεις, αναλαμβάνοντας ουσιαστικά τις λειτουργίες του αμφιβληστροειδούς.
Γλειφιτζούρι BrainPort με γυαλιά και κάμερα
BrainPort στην εργασία
Το ίδιο και με έναν υπολογιστή. Εάν το νευρωνικό δίκτυο αντιληφθεί μια αλλαγή στη διαδικασία, προσαρμόζεται σε αυτήν. Αυτό είναι το βασικό πλεονέκτημα των νευρωνικών δικτύων σε σύγκριση με άλλους αλγόριθμους – η αυτονομία. Ένα είδος ανθρωπιάς.
Κρυπτογραφημένο Traffic Analytics
Το κρυπτογραφημένο Traffic Analytics αποτελεί μέρος του συστήματος Stealthwatch. Το Stealthwatch είναι η είσοδος της Cisco στις λύσεις παρακολούθησης ασφαλείας και ανάλυσης που αξιοποιεί τα εταιρικά δεδομένα τηλεμετρίας από την υπάρχουσα υποδομή δικτύου.
Το Stealthwatch Enterprise βασίζεται στα εργαλεία Άδειας Ρυθμού ροής, Συλλέκτη ροής, Κονσόλα διαχείρισης και Αισθητήρας ροής.
Διεπαφή Cisco Stealthwatch
Το πρόβλημα με την κρυπτογράφηση έγινε πολύ οξύ λόγω του γεγονότος ότι πολύ περισσότερη κίνηση άρχισε να κρυπτογραφείται. Προηγουμένως, μόνο ο κώδικας ήταν κρυπτογραφημένος (κυρίως), αλλά τώρα όλη η κίνηση είναι κρυπτογραφημένη και ο διαχωρισμός «καθαρών» δεδομένων από ιούς έχει γίνει πολύ πιο δύσκολος. Ένα εντυπωσιακό παράδειγμα είναι το WannaCry, το οποίο χρησιμοποίησε το Tor για να κρύψει την παρουσία του στο διαδίκτυο.
Οπτικοποίηση της αύξησης της κρυπτογράφησης κίνησης στο δίκτυο
Η κρυπτογράφηση στη μακροοικονομία
Το σύστημα κρυπτογραφημένης ανάλυσης επισκεψιμότητας (ETA) είναι απαραίτητο ακριβώς για την εργασία με κρυπτογραφημένη κίνηση χωρίς την αποκρυπτογράφηση της. Οι εισβολείς είναι έξυπνοι και χρησιμοποιούν αλγόριθμους κρυπτογράφησης ανθεκτικούς στην κρυπτογράφηση, και η παραβίασή τους δεν είναι μόνο πρόβλημα, αλλά και εξαιρετικά ακριβό για τους οργανισμούς.
Το σύστημα λειτουργεί ως εξής. Κάποια κίνηση έρχεται στην εταιρεία. Εμπίπτει σε TLS (ασφάλεια επιπέδου μεταφοράς). Ας υποθέσουμε ότι η κίνηση είναι κρυπτογραφημένη. Προσπαθούμε να απαντήσουμε σε μια σειρά ερωτήσεων σχετικά με το είδος της σύνδεσης που έγινε.
Πώς λειτουργεί το σύστημα κρυπτογραφημένης ανάλυσης επισκεψιμότητας (ETA).
Για να απαντήσουμε σε αυτές τις ερωτήσεις χρησιμοποιούμε μηχανική εκμάθηση σε αυτό το σύστημα. Λαμβάνεται έρευνα από τη Cisco και με βάση αυτές τις μελέτες δημιουργείται ένας πίνακας από 2 αποτελέσματα - κακόβουλη και «καλή» επισκεψιμότητα. Φυσικά, δεν γνωρίζουμε με βεβαιότητα τι είδους κίνηση εισήλθε στο σύστημα απευθείας την τρέχουσα χρονική στιγμή, αλλά μπορούμε να εντοπίσουμε το ιστορικό της κίνησης τόσο εντός όσο και εκτός της εταιρείας χρησιμοποιώντας δεδομένα από την παγκόσμια σκηνή. Στο τέλος αυτού του σταδίου, έχουμε έναν τεράστιο πίνακα με δεδομένα.
Με βάση τα αποτελέσματα της μελέτης, προσδιορίζονται χαρακτηριστικά γνωρίσματα - ορισμένοι κανόνες που μπορούν να καταγραφούν σε μαθηματική μορφή. Αυτοί οι κανόνες θα διαφέρουν σημαντικά ανάλογα με διαφορετικά κριτήρια - το μέγεθος των μεταφερόμενων αρχείων, τον τύπο της σύνδεσης, τη χώρα από την οποία προέρχεται αυτή η κίνηση κ.λπ. Ως αποτέλεσμα της δουλειάς, το τεράστιο τραπέζι μετατράπηκε σε ένα σύνολο από φόρμουλες. Υπάρχουν λιγότερα από αυτά, αλλά αυτό δεν αρκεί για άνετη εργασία.
Στη συνέχεια, εφαρμόζεται η τεχνολογία μηχανικής μάθησης - σύγκλιση τύπου και με βάση το αποτέλεσμα της σύγκλισης παίρνουμε ένα έναυσμα - διακόπτη, όπου όταν βγαίνουν τα δεδομένα παίρνουμε διακόπτη (σημαία) στην ανυψωμένη ή κατεβασμένη θέση.
Το προκύπτον στάδιο είναι η απόκτηση ενός συνόλου σκανδαλισμών που κάλυπταν το 99% της κίνησης.
Βήματα επιθεώρησης κυκλοφορίας στο ETA
Ως αποτέλεσμα της εργασίας, επιλύεται ένα άλλο πρόβλημα - μια επίθεση από μέσα. Δεν υπάρχει πλέον ανάγκη για άτομα στη μέση να φιλτράρουν χειροκίνητα την κυκλοφορία (πνίγομαι σε αυτό το σημείο). Πρώτον, δεν χρειάζεται πλέον να ξοδεύετε πολλά χρήματα σε έναν ικανό διαχειριστή συστήματος (συνεχίζω να πνίγομαι). Δεύτερον, δεν υπάρχει κίνδυνος hacking από το εσωτερικό (τουλάχιστον εν μέρει).
Ξεπερασμένη έννοια Man-in-the-Middle
Τώρα, ας καταλάβουμε σε τι βασίζεται το σύστημα.
Το σύστημα λειτουργεί με 4 πρωτόκολλα επικοινωνίας: TCP/IP – Πρωτόκολλο μεταφοράς δεδομένων Internet, DNS – διακομιστής ονομάτων τομέα, TLS – πρωτόκολλο ασφαλείας επιπέδου μεταφοράς, SPLT (SpaceWire Physical Layer Tester) – ελεγκτής επιπέδου φυσικής επικοινωνίας.
Πρωτόκολλα που συνεργάζονται με την ETA
Η σύγκριση γίνεται με σύγκριση δεδομένων. Χρησιμοποιώντας πρωτόκολλα TCP/IP, ελέγχεται η φήμη των τοποθεσιών (ιστορικό επισκέψεων, σκοπός δημιουργίας του ιστότοπου κ.λπ.), χάρη στο πρωτόκολλο DNS, μπορούμε να απορρίψουμε «κακές» διευθύνσεις τοποθεσιών. Το πρωτόκολλο TLS λειτουργεί με το δακτυλικό αποτύπωμα ενός ιστότοπου και επαληθεύει τον ιστότοπο έναντι μιας ομάδας απόκρισης έκτακτης ανάγκης υπολογιστή (πιστοποιητικό). Το τελευταίο βήμα για τον έλεγχο της σύνδεσης είναι ο έλεγχος σε φυσικό επίπεδο. Οι λεπτομέρειες αυτού του σταδίου δεν προσδιορίζονται, αλλά το θέμα είναι το εξής: έλεγχος των καμπυλών ημιτόνου και συνημιτόνου των καμπυλών μετάδοσης δεδομένων σε παλμογραφικές εγκαταστάσεις, δηλ. Χάρη στη δομή του αιτήματος στο φυσικό επίπεδο, καθορίζουμε τον σκοπό της σύνδεσης.
Ως αποτέλεσμα της λειτουργίας του συστήματος, μπορούμε να λάβουμε δεδομένα από κρυπτογραφημένη κίνηση. Εξετάζοντας πακέτα, μπορούμε να διαβάσουμε όσο το δυνατόν περισσότερες πληροφορίες από τα μη κρυπτογραφημένα πεδία στο ίδιο το πακέτο. Επιθεωρώντας το πακέτο στο φυσικό επίπεδο, ανακαλύπτουμε τα χαρακτηριστικά του πακέτου (μερικώς ή πλήρως). Επίσης, μην ξεχνάτε τη φήμη των τοποθεσιών. Εάν το αίτημα προήλθε από κάποια πηγή .onion, δεν πρέπει να το εμπιστευτείτε. Για να διευκολυνθεί η εργασία με αυτού του είδους τα δεδομένα, έχει δημιουργηθεί ένας χάρτης κινδύνου.
Αποτέλεσμα των εργασιών της ΕΤΑ
Και όλα φαίνονται να είναι καλά, αλλά ας μιλήσουμε για την ανάπτυξη δικτύου.
Φυσική εφαρμογή της ΕΤΑ
Εδώ προκύπτουν διάφορες αποχρώσεις και λεπτές αποχρώσεις. Πρώτον, κατά τη δημιουργία αυτού του είδους
δίκτυα με λογισμικό υψηλού επιπέδου, απαιτείται συλλογή δεδομένων. Συλλέξτε δεδομένα με μη αυτόματο τρόπο εντελώς
άγρια, αλλά η εφαρμογή ενός συστήματος απόκρισης είναι ήδη πιο ενδιαφέρουσα. Δεύτερον, τα δεδομένα
θα πρέπει να υπάρχουν πολλά, πράγμα που σημαίνει ότι οι εγκατεστημένοι αισθητήρες δικτύου πρέπει να λειτουργούν
όχι μόνο αυτόνομα, αλλά και σε μια λεπτομερή λειτουργία, η οποία δημιουργεί μια σειρά από δυσκολίες.
Αισθητήρες και σύστημα Stealthwatch
Η εγκατάσταση ενός αισθητήρα είναι ένα πράγμα, αλλά η εγκατάσταση του είναι μια εντελώς διαφορετική εργασία. Για τη διαμόρφωση των αισθητήρων, υπάρχει ένα σύμπλεγμα που λειτουργεί σύμφωνα με την ακόλουθη τοπολογία - ISR = Cisco Integrated Services Router. ASR = Cisco Aggregation Services Router; CSR = Cisco Cloud Services Router; WLC = Ελεγκτής ασύρματου LAN της Cisco. IE = Cisco Industrial Ethernet Switch; ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defense Solution. WSA = Web Security Appliance. ISE = Μηχανή υπηρεσιών ταυτότητας
Ολοκληρωμένη παρακολούθηση λαμβάνοντας υπόψη τυχόν τηλεμετρικά δεδομένα
Οι διαχειριστές δικτύου αρχίζουν να αντιμετωπίζουν αρρυθμίες από τον αριθμό των λέξεων "Cisco" στην προηγούμενη παράγραφο. Το τίμημα αυτού του θαύματος δεν είναι μικρό, αλλά δεν είναι αυτό για το οποίο μιλάμε σήμερα...
Η συμπεριφορά του χάκερ θα διαμορφωθεί ως εξής. Το Stealthwatch παρακολουθεί προσεκτικά τη δραστηριότητα κάθε συσκευής στο δίκτυο και είναι σε θέση να δημιουργήσει ένα μοτίβο κανονικής συμπεριφοράς. Επιπλέον, αυτή η λύση παρέχει βαθιά εικόνα για γνωστή ακατάλληλη συμπεριφορά. Η λύση χρησιμοποιεί περίπου 100 διαφορετικούς αλγόριθμους ανάλυσης ή ευρετικές μεθόδους που αντιμετωπίζουν διαφορετικούς τύπους συμπεριφοράς στην κυκλοφορία, όπως σάρωση, πλαίσια συναγερμού κεντρικού υπολογιστή, συνδέσεις ωμής βίας, ύποπτη λήψη δεδομένων, ύποπτη διαρροή δεδομένων κ.λπ. . Τα συμβάντα ασφαλείας που παρατίθενται εμπίπτουν στην κατηγορία των λογικών συναγερμών υψηλού επιπέδου. Ορισμένα συμβάντα ασφαλείας μπορούν επίσης να ενεργοποιήσουν έναν συναγερμό από μόνα τους. Έτσι, το σύστημα είναι σε θέση να συσχετίσει πολλαπλά μεμονωμένα ανώμαλα περιστατικά και να τα συνδυάσει για να προσδιορίσει τον πιθανό τύπο επίθεσης, καθώς και να το συνδέσει με μια συγκεκριμένη συσκευή και χρήστη (Εικόνα 2). Στο μέλλον, το περιστατικό μπορεί να μελετηθεί με την πάροδο του χρόνου και λαμβάνοντας υπόψη τα σχετικά δεδομένα τηλεμετρίας. Αυτό αποτελεί πληροφόρηση με βάση τα συμφραζόμενα στην καλύτερη περίπτωση. Οι γιατροί που εξετάζουν έναν ασθενή για να καταλάβουν τι φταίει, δεν εξετάζουν τα συμπτώματα μεμονωμένα. Κοιτάζουν τη μεγάλη εικόνα για να κάνουν μια διάγνωση. Ομοίως, το Stealthwatch καταγράφει κάθε ανώμαλη δραστηριότητα στο δίκτυο και την εξετάζει ολιστικά για να στείλει συναγερμούς με επίγνωση του πλαισίου, βοηθώντας έτσι τους επαγγελματίες ασφαλείας να δώσουν προτεραιότητα στους κινδύνους.
Ανίχνευση ανωμαλιών με χρήση μοντελοποίησης συμπεριφοράς
Η φυσική ανάπτυξη του δικτύου μοιάζει με αυτό:
Επιλογή ανάπτυξης δικτύου υποκαταστημάτων (απλοποιημένη)
Επιλογή ανάπτυξης δικτύου υποκαταστημάτων
Το δίκτυο έχει αναπτυχθεί, αλλά το ερώτημα σχετικά με τον νευρώνα παραμένει ανοιχτό. Οργάνωσαν ένα δίκτυο μετάδοσης δεδομένων, εγκατέστησαν αισθητήρες στα κατώφλια και ξεκίνησαν ένα σύστημα συλλογής πληροφοριών, αλλά ο νευρώνας δεν συμμετείχε στο θέμα. Αντίο.
Πολυστρωματικό νευρωνικό δίκτυο
Το σύστημα αναλύει τη συμπεριφορά χρήστη και συσκευής για να ανιχνεύσει κακόβουλες μολύνσεις, επικοινωνίες με διακομιστές εντολών και ελέγχου, διαρροές δεδομένων και δυνητικά ανεπιθύμητες εφαρμογές που εκτελούνται στην υποδομή του οργανισμού. Υπάρχουν πολλά επίπεδα επεξεργασίας δεδομένων όπου ένας συνδυασμός τεχνικών τεχνητής νοημοσύνης, μηχανικής μάθησης και μαθηματικών στατιστικών βοηθούν το δίκτυο να μάθει μόνο του την κανονική του δραστηριότητα, ώστε να μπορεί να ανιχνεύσει κακόβουλη δραστηριότητα.
Ο αγωγός ανάλυσης ασφάλειας δικτύου, ο οποίος συλλέγει δεδομένα τηλεμετρίας από όλα τα μέρη του εκτεταμένου δικτύου, συμπεριλαμβανομένης της κρυπτογραφημένης κίνησης, είναι ένα μοναδικό χαρακτηριστικό του Stealthwatch. Αναπτύσσει σταδιακά την κατανόηση του τι είναι «ανώμαλο», στη συνέχεια κατηγοριοποιεί τα πραγματικά μεμονωμένα στοιχεία της «δραστηριότητας απειλής» και τελικά κάνει μια τελική κρίση ως προς το εάν η συσκευή ή ο χρήστης έχει πράγματι παραβιαστεί. Η ικανότητα να συνδυάζονται μικρά κομμάτια που μαζί αποτελούν τα αποδεικτικά στοιχεία για τη λήψη μιας τελικής απόφασης σχετικά με το εάν ένα περιουσιακό στοιχείο έχει παραβιαστεί έρχεται μέσω πολύ προσεκτικής ανάλυσης και συσχέτισης.
Αυτή η ικανότητα είναι σημαντική επειδή μια τυπική επιχείρηση μπορεί να λαμβάνει έναν τεράστιο αριθμό συναγερμών κάθε μέρα και είναι αδύνατο να διερευνηθεί ο καθένας επειδή οι επαγγελματίες ασφάλειας έχουν περιορισμένους πόρους. Η μονάδα μηχανικής εκμάθησης επεξεργάζεται τεράστιες ποσότητες πληροφοριών σε σχεδόν πραγματικό χρόνο για να εντοπίσει κρίσιμα περιστατικά με υψηλό επίπεδο εμπιστοσύνης και είναι επίσης σε θέση να παρέχει σαφείς πορείες δράσης για γρήγορη επίλυση.
Ας ρίξουμε μια πιο προσεκτική ματιά στις πολυάριθμες τεχνικές μηχανικής εκμάθησης που χρησιμοποιούνται από το Stealthwatch. Όταν ένα περιστατικό υποβάλλεται στη μηχανή μηχανικής εκμάθησης του Stealthwatch, περνά από μια διοχέτευση ανάλυσης ασφαλείας που χρησιμοποιεί έναν συνδυασμό εποπτευόμενων και μη εποπτευόμενων τεχνικών μηχανικής εκμάθησης.
Δυνατότητες μηχανικής εκμάθησης πολλαπλών επιπέδων
Επίπεδο 1. Ανίχνευση ανωμαλιών και μοντελοποίηση εμπιστοσύνης
Σε αυτό το επίπεδο, το 99% της κίνησης απορρίπτεται χρησιμοποιώντας ανιχνευτές στατιστικών ανωμαλιών. Αυτοί οι αισθητήρες μαζί σχηματίζουν πολύπλοκα μοντέλα για το τι είναι φυσιολογικό και τι, αντίθετα, είναι μη φυσιολογικό. Ωστόσο, το μη φυσιολογικό δεν είναι απαραίτητα επιβλαβές. Πολλά από αυτά που συμβαίνουν στο δίκτυό σας δεν έχουν καμία σχέση με την απειλή—είναι απλώς περίεργα. Είναι σημαντικό να ταξινομούνται τέτοιες διαδικασίες χωρίς να λαμβάνεται υπόψη η απειλητική συμπεριφορά. Για το λόγο αυτό, τα αποτελέσματα τέτοιων ανιχνευτών αναλύονται περαιτέρω προκειμένου να καταγραφούν περίεργες συμπεριφορές που μπορούν να εξηγηθούν και να εμπιστευτούν. Τελικά, μόνο ένα μικρό κλάσμα από τα πιο σημαντικά νήματα και αιτήματα φτάνει στα επίπεδα 2 και 3. Χωρίς τη χρήση τέτοιων τεχνικών μηχανικής εκμάθησης, το λειτουργικό κόστος του διαχωρισμού του σήματος από το θόρυβο θα ήταν πολύ υψηλό.
Ανίχνευση ανωμαλιών. Το πρώτο βήμα στον εντοπισμό ανωμαλιών χρησιμοποιεί στατιστικές τεχνικές μηχανικής εκμάθησης για να διαχωρίσει τη στατιστικά κανονική κίνηση από την ανώμαλη κίνηση. Περισσότεροι από 70 μεμονωμένοι ανιχνευτές επεξεργάζονται τα δεδομένα τηλεμετρίας που συλλέγει το Stealthwatch στην κίνηση που διέρχεται από την περίμετρο του δικτύου σας, διαχωρίζοντας την εσωτερική κίνηση του συστήματος ονομάτων τομέα (DNS) από τα δεδομένα διακομιστή μεσολάβησης, εάν υπάρχουν. Κάθε αίτημα υποβάλλεται σε επεξεργασία από περισσότερους από 70 ανιχνευτές, με κάθε ανιχνευτή να χρησιμοποιεί τον δικό του στατιστικό αλγόριθμο για να σχηματίσει μια αξιολόγηση των ανωμαλιών που ανιχνεύθηκαν. Αυτές οι βαθμολογίες συνδυάζονται και χρησιμοποιούνται πολλαπλές στατιστικές μέθοδοι για την παραγωγή μιας ενιαίας βαθμολογίας για κάθε μεμονωμένο ερώτημα. Αυτή η συνολική βαθμολογία χρησιμοποιείται στη συνέχεια για τον διαχωρισμό της κανονικής και της ανώμαλης κυκλοφορίας.
Εμπιστοσύνη μοντελοποίησης. Στη συνέχεια, παρόμοια αιτήματα ομαδοποιούνται και η συνολική βαθμολογία ανωμαλιών για τέτοιες ομάδες καθορίζεται ως μακροπρόθεσμος μέσος όρος. Με την πάροδο του χρόνου, αναλύονται περισσότερα ερωτήματα για τον προσδιορισμό του μακροπρόθεσμου μέσου όρου, μειώνοντας έτσι τα ψευδώς θετικά και τα ψευδώς αρνητικά. Τα αποτελέσματα της μοντελοποίησης αξιοπιστίας χρησιμοποιούνται για την επιλογή ενός υποσυνόλου επισκεψιμότητας του οποίου η βαθμολογία ανωμαλίας υπερβαίνει κάποιο δυναμικά καθορισμένο όριο για μετάβαση στο επόμενο επίπεδο επεξεργασίας.
Επίπεδο 2. Ταξινόμηση γεγονότων και μοντελοποίηση αντικειμένων
Σε αυτό το επίπεδο, τα αποτελέσματα που προέκυψαν στα προηγούμενα στάδια ταξινομούνται και εκχωρούνται σε συγκεκριμένα κακόβουλα συμβάντα. Τα συμβάντα ταξινομούνται με βάση την τιμή που εκχωρείται από ταξινομητές μηχανικής εκμάθησης για να διασφαλιστεί ένα σταθερό ποσοστό ακρίβειας άνω του 90%. Ανάμεσα τους:
- γραμμικά μοντέλα που βασίζονται στο λήμμα Neyman-Pearson (ο νόμος της κανονικής κατανομής από το γράφημα στην αρχή του άρθρου)
- υποστήριξη διανυσματικών μηχανών που χρησιμοποιούν πολυπαραγοντική μάθηση
- νευρωνικά δίκτυα και ο αλγόριθμος τυχαίων δασών.
Αυτά τα μεμονωμένα συμβάντα ασφαλείας συσχετίζονται στη συνέχεια με ένα μόνο τελικό σημείο με την πάροδο του χρόνου. Σε αυτό το στάδιο διαμορφώνεται μια περιγραφή απειλής, βάσει της οποίας δημιουργείται μια πλήρης εικόνα για το πώς ο σχετικός εισβολέας κατάφερε να επιτύχει ορισμένα αποτελέσματα.
Ταξινόμηση γεγονότων. Το στατιστικά ανώμαλο υποσύνολο από το προηγούμενο επίπεδο κατανέμεται σε 100 ή περισσότερες κατηγορίες χρησιμοποιώντας ταξινομητές. Οι περισσότεροι ταξινομητές βασίζονται σε ατομική συμπεριφορά, ομαδικές σχέσεις ή συμπεριφορά σε παγκόσμια ή τοπική κλίμακα, ενώ άλλοι μπορεί να είναι αρκετά συγκεκριμένοι. Για παράδειγμα, ο ταξινομητής θα μπορούσε να υποδεικνύει επισκεψιμότητα C&C, μια ύποπτη επέκταση ή μια μη εξουσιοδοτημένη ενημέρωση λογισμικού. Με βάση τα αποτελέσματα αυτού του σταδίου, σχηματίζεται ένα σύνολο ανώμαλων συμβάντων στο σύστημα ασφαλείας, ταξινομημένα σε ορισμένες κατηγορίες.
Μοντελοποίηση αντικειμένων. Εάν ο όγκος των αποδεικτικών στοιχείων που υποστηρίζουν την υπόθεση ότι ένα συγκεκριμένο αντικείμενο είναι επιβλαβές υπερβαίνει το όριο ουσιαστικότητας, προσδιορίζεται μια απειλή. Σχετικά γεγονότα που επηρέασαν τον ορισμό μιας απειλής συνδέονται με μια τέτοια απειλή και γίνονται μέρος ενός διακριτού μακροπρόθεσμου μοντέλου του αντικειμένου. Καθώς τα στοιχεία συσσωρεύονται με την πάροδο του χρόνου, το σύστημα εντοπίζει νέες απειλές όταν επιτευχθεί το όριο ουσιαστικότητας. Αυτή η τιμή κατωφλίου είναι δυναμική και προσαρμόζεται έξυπνα με βάση το επίπεδο κινδύνου απειλής και άλλους παράγοντες. Μετά από αυτό, η απειλή εμφανίζεται στον πίνακα πληροφοριών της διεπαφής ιστού και μεταφέρεται στο επόμενο επίπεδο.
Επίπεδο 3. Μοντελοποίηση Σχέσεων
Ο σκοπός της μοντελοποίησης σχέσεων είναι να συνθέσει τα αποτελέσματα που προέκυψαν σε προηγούμενα επίπεδα από μια παγκόσμια προοπτική, λαμβάνοντας υπόψη όχι μόνο το τοπικό αλλά και το παγκόσμιο πλαίσιο του σχετικού περιστατικού. Σε αυτό το στάδιο μπορείτε να προσδιορίσετε πόσοι οργανισμοί έχουν αντιμετωπίσει μια τέτοια επίθεση, προκειμένου να καταλάβετε εάν στόχευε ειδικά σε εσάς ή είναι μέρος μιας παγκόσμιας καμπάνιας και μόλις σας έπιασαν.
Τα περιστατικά επιβεβαιώνονται ή ανακαλύπτονται. Ένα επαληθευμένο περιστατικό συνεπάγεται εμπιστοσύνη 99 έως 100%, επειδή οι σχετικές τεχνικές και εργαλεία έχουν προηγουμένως παρατηρηθεί σε δράση σε μεγαλύτερη (παγκόσμια) κλίμακα. Τα περιστατικά που εντοπίζονται είναι μοναδικά για εσάς και αποτελούν μέρος μιας εξαιρετικά στοχευμένης καμπάνιας. Τα προηγούμενα ευρήματα κοινοποιούνται με μια γνωστή πορεία δράσης, εξοικονομώντας χρόνο και πόρους ως απάντηση. Έρχονται με τα ερευνητικά εργαλεία που χρειάζεστε για να κατανοήσετε ποιος σας επιτέθηκε και τον βαθμό στον οποίο η καμπάνια στόχευε την ψηφιακή σας επιχείρηση. Όπως μπορείτε να φανταστείτε, ο αριθμός των επιβεβαιωμένων περιστατικών υπερβαίνει κατά πολύ τον αριθμό των ανιχνευθέντων για τον απλούστατο λόγο ότι τα επιβεβαιωμένα περιστατικά δεν συνεπάγονται μεγάλο κόστος για τους επιτιθέμενους, ενώ τα ανιχνευμένα περιστατικά κάνουν.
ακριβά γιατί πρέπει να είναι καινούργια και προσαρμοσμένα. Με τη δημιουργία της δυνατότητας αναγνώρισης επιβεβαιωμένων περιστατικών, τα οικονομικά στοιχεία του παιχνιδιού έχουν τελικά μετατοπιστεί υπέρ των αμυντικών, δίνοντάς τους ένα ξεχωριστό πλεονέκτημα.
Εκπαίδευση πολλαπλών επιπέδων συστήματος νευρωνικών συνδέσεων που βασίζεται σε ETA
Παγκόσμιος χάρτης κινδύνου
Ο παγκόσμιος χάρτης κινδύνου δημιουργείται μέσω ανάλυσης που εφαρμόζεται από αλγόριθμους μηχανικής μάθησης σε ένα από τα μεγαλύτερα σύνολα δεδομένων του είδους του στον κλάδο. Παρέχει εκτεταμένα στατιστικά στοιχεία συμπεριφοράς σχετικά με διακομιστές στο Διαδίκτυο, ακόμα κι αν είναι άγνωστοι. Τέτοιοι διακομιστές σχετίζονται με επιθέσεις και ενδέχεται να εμπλακούν ή να χρησιμοποιηθούν ως μέρος μιας επίθεσης στο μέλλον. Αυτή δεν είναι μια «μαύρη λίστα», αλλά μια ολοκληρωμένη εικόνα του εν λόγω διακομιστή από την άποψη της ασφάλειας. Αυτές οι συμφραζόμενες πληροφορίες σχετικά με τη δραστηριότητα αυτών των διακομιστών επιτρέπουν στους ανιχνευτές μηχανικής εκμάθησης και τους ταξινομητές της Stealthwatch να προβλέπουν με ακρίβεια το επίπεδο κινδύνου που σχετίζεται με τις επικοινωνίες με τέτοιους διακομιστές.
Μπορείτε να δείτε τις διαθέσιμες κάρτες .
Παγκόσμιος χάρτης που δείχνει 460 εκατομμύρια διευθύνσεις IP
Τώρα το δίκτυο μαθαίνει και προστατεύει το δίκτυό σας.
Τελικά βρέθηκε πανάκεια;
Δυστυχώς, όχι. Από την εμπειρία εργασίας με το σύστημα, μπορώ να πω ότι υπάρχουν 2 παγκόσμια προβλήματα.
Πρόβλημα 1. Τιμή. Ολόκληρο το δίκτυο αναπτύσσεται σε ένα σύστημα Cisco. Αυτό είναι και καλό και κακό. Η καλή πλευρά είναι ότι δεν χρειάζεται να ενοχλείτε και να εγκαταστήσετε ένα σωρό βύσματα όπως D-Link, MikroTik κ.λπ. Το μειονέκτημα είναι το τεράστιο κόστος του συστήματος. Λαμβάνοντας υπόψη την οικονομική κατάσταση των ρωσικών επιχειρήσεων, αυτή τη στιγμή μόνο ένας πλούσιος ιδιοκτήτης μιας μεγάλης εταιρείας ή τράπεζας μπορεί να αντέξει οικονομικά αυτό το θαύμα.
Πρόβλημα 2: Εκπαίδευση. Δεν έγραψα στο άρθρο την περίοδο εκπαίδευσης για το νευρωνικό δίκτυο, αλλά όχι επειδή δεν υπάρχει, αλλά επειδή μαθαίνει συνέχεια και δεν μπορούμε να προβλέψουμε πότε θα μάθει. Φυσικά, υπάρχουν εργαλεία μαθηματικών στατιστικών (πάρτε την ίδια διατύπωση του κριτηρίου σύγκλισης Pearson), αλλά αυτά είναι ημίμετρα. Λαμβάνουμε την πιθανότητα φιλτραρίσματος της κυκλοφορίας, και ακόμη και τότε μόνο υπό την προϋπόθεση ότι η επίθεση έχει ήδη κατακτηθεί και γίνει γνωστή.
Παρά αυτά τα 2 προβλήματα, έχουμε κάνει ένα μεγάλο άλμα στην ανάπτυξη της ασφάλειας πληροφοριών γενικά και της προστασίας του δικτύου ειδικότερα. Αυτό το γεγονός μπορεί να αποτελέσει κίνητρο για τη μελέτη των τεχνολογιών δικτύων και των νευρωνικών δικτύων, που αποτελούν πλέον μια πολλά υποσχόμενη κατεύθυνση.
Πηγή: www.habr.com