Sistemo por analizi trafikon sen deĉifri ĝin. Ĉi tiu metodo estas simple nomata "maŝina lernado". Montriĝis, ke se tre granda volumo de diversa trafiko estas nutrata al la enigo de speciala klasigilo, la sistemo povas detekti la agojn de malica kodo ene de ĉifrita trafiko kun tre alta grado de probableco.
Interretaj minacoj ŝanĝiĝis kaj fariĝis pli inteligentaj. Lastatempe, la koncepto mem de atako kaj defendo ŝanĝiĝis. La nombro da eventoj en la reto signife pliiĝis. Atakoj fariĝis pli kompleksaj kaj retpiratoj havas pli larĝan atingon.
Laŭ Cisco-statistiko, dum la pasinta jaro, atakantoj triobligis la nombron da malware, kiun ili uzas por siaj agadoj, aŭ pli ĝuste, ĉifradon por kaŝi ilin. Estas konate de teorio ke la "ĝusta" ĉifrada algoritmo ne povas esti rompita. Por kompreni, kio estas kaŝita ene de la ĉifrita trafiko, necesas aŭ deĉifri ĝin konante la ŝlosilon, aŭ provi malĉifri ĝin uzante diversajn lertaĵojn, aŭ rekte haki, aŭ uzante ian vundeblecojn en ĉifrikaj protokoloj.
Bildo de la retaj minacoj de nia tempo
Maŝinlernado
Konu la teknologion persone! Antaŭ ol paroli pri kiel funkcias la maŝinlernada deĉifrita teknologio mem, necesas kompreni kiel funkcias neŭrala reto.
Maŝinlernado estas larĝa subfako de artefarita inteligenteco kiu studas metodojn por konstrui algoritmojn kiuj povas lerni. Ĉi tiu scienco celas krei matematikajn modelojn por "trejni" komputilon. La celo de lernado estas antaŭdiri ion. En homa kompreno, ni nomas ĉi tiun procezon la vorto "saĝo". Saĝo manifestiĝas ĉe homoj, kiuj vivis sufiĉe longe (2-jara infano ne povas esti saĝa). Kiam ni turnas sin al altrangaj kamaradoj por konsiloj, ni donas al ili iujn informojn pri la evento (enigo-datumoj) kaj petas de ili helpon. Ili siavice memoras ĉiujn situaciojn el la vivo, kiuj iel rilatas al via problemo (sciobazo) kaj, surbaze de ĉi tiu scio (datenoj), donas al ni specon de antaŭdiro (konsiloj). Ĉi tiu tipo de konsiloj komencis nomi antaŭdiro ĉar la persono kiu donas la konsilon ne scias certe kio okazos, sed nur supozas. Viva sperto montras, ke homo povas pravi, aŭ li povas malpravi.
Vi ne komparu neŭralajn retojn kun la disbranĉa algoritmo (se-alie). Ĉi tiuj estas malsamaj aferoj kaj estas ŝlosilaj diferencoj. La disbranĉa algoritmo havas klaran "komprenon" pri tio, kion fari. Mi pruvos per ekzemploj.
Tasko. Determini la bremsan distancon de aŭto surbaze de ĝia marko kaj jaro de fabrikado.
Ekzemplo de la disbranĉa algoritmo. Se aŭto estas marko 1 kaj estis eldonita en 2012, ĝia bremsdistanco estas 10 metroj, alie, se la aŭto estas marko 2 kaj estis eldonita en 2011, ktp.
Ekzemplo de neŭrala reto. Ni kolektas datumojn pri aŭto bremsdistancoj dum la lastaj 20 jaroj. Laŭ marko kaj jaro, ni kompilas tabelon de la formo "faro-jaro de fabrikado-bremsa distanco". Ni elsendas ĉi tiun tabelon al la neŭrala reto kaj komencas instrui ĝin. Trejnado okazas jene: ni nutras datumojn al la neŭrala reto, sed sen bremsa vojo. La neŭrono provas antaŭdiri kia la bremsdistanco estos bazita sur la tablo ŝarĝita en ĝi. Antaŭdiras ion kaj demandas al la uzanto "Ĉu mi pravas?" Antaŭ la demando, ŝi kreas kvaran kolumnon, la divenkolumnon. Se ŝi pravas, tiam ŝi skribas 1 en la kvara kolumno, se ŝi eraras, ŝi skribas 0. La neŭrala reto pasas al la sekva evento (eĉ se ĝi faris eraron). Jen kiel la reto lernas kaj kiam la trejnado estas finita (certa kriterio de konverĝo estis atingita), ni sendas datumojn pri la aŭto, pri kiu ni interesiĝas kaj finfine ricevas respondon.
Por forigi la demandon pri la konverĝa kriterio, mi klarigos, ke ĉi tio estas matematike derivita formulo por statistiko. Frapa ekzemplo de du malsamaj konverĝaj formuloj. Ruĝa - binara konverĝo, blua - normala konverĝo.
Binomaj kaj normalaj probablaj distribuoj
Por pliklarigi ĝin, demandu "Kio estas la probableco renkonti dinosaŭron?" Estas 2 eblaj respondoj ĉi tie. Opcio 1 - tre malgranda (blua grafikaĵo). Opcio 2 - ĉu kunveno aŭ ne (ruĝa grafikaĵo).
Kompreneble, komputilo ne estas homo kaj ĝi lernas malsame. Estas 2 specoj de ferĉevala trejnado: kazbazita lernado и dedukta lernado.
Instruado per precedenco estas maniero instrui uzante matematikajn leĝojn. Matematikistoj kolektas statistikajn tabelojn, faras konkludojn kaj ŝarĝas la rezulton en la neŭralan reton - formulon por kalkulo.
Dedukta lernado - lernado okazas tute en la neŭrono (de datenkolektado ĝis ĝia analizo). Ĉi tie tabelo estas formita sen formulo, sed kun statistiko.
Larĝa superrigardo de la teknologio postulus pliajn du dekduojn da artikoloj. Nuntempe tio sufiĉos por nia ĝenerala kompreno.
Neŭroplasteco
En biologio ekzistas tia koncepto - neŭroplastikeco. Neŭroplasteco estas la kapablo de neŭronoj (cerbaj ĉeloj) agi "laŭ la situacio." Ekzemple, homo, kiu perdis sian vidon, aŭdas sonojn, flaras kaj sentas objektojn pli bone. Ĉi tio okazas pro la fakto, ke la parto de la cerbo (parto de la neŭronoj) respondeca por vizio redistribuas sian laboron al aliaj funkcioj.
Frapa ekzemplo de neŭroplastikeco en vivo estas la lekbombono BrainPort.
En 2009, la Universitato de Viskonsino ĉe Madison anoncis la liberigon de nova aparato, kiu disvolvis la ideojn de "lingva ekrano" - ĝi estis nomita BrainPort. BrainPort funkcias laŭ la sekva algoritmo: la videosignalo estas sendita de la fotilo al la procesoro, kiu kontrolas zomon, brilecon kaj aliajn bildajn parametrojn. Ĝi ankaŭ konvertas ciferecajn signalojn en elektrajn impulsojn, esence transprenante la funkciojn de la retino.
BrainPort lekbombono kun okulvitroj kaj fotilo
BrainPort ĉe laboro
Same kun komputilo. Se la neŭrala reto sentas ŝanĝon en la procezo, ĝi adaptiĝas al ĝi. Ĉi tio estas la ŝlosila avantaĝo de neŭralaj retoj kompare kun aliaj algoritmoj - aŭtonomio. Ia homaro.
Ĉifrita Trafikanalitiko
Ĉifrita Trafikanalitiko estas parto de la Stealthwatch-sistemo. Stealthwatch estas la eniro de Cisco en sekurecmonitorado kaj analizaj solvoj, kiu ekspluatas entreprenajn telemetriajn datumojn de ekzistanta reto-infrastrukturo.
Stealthwatch Enterprise baziĝas sur la iloj de Fluo-Intenco, Flow Collector, Administra Konzolo kaj Flow Sensor.
Cisco Stealthwatch Interfaco
La problemo kun ĉifrado fariĝis tre akra pro la fakto, ke multe pli da trafiko komencis esti ĉifrita. Antaŭe, nur la kodo estis ĉifrita (plejparte), sed nun la tuta trafiko estas ĉifrita kaj apartigi "purajn" datumojn de virusoj fariĝis multe pli malfacila. Frapa ekzemplo estas WannaCry, kiu uzis Tor por kaŝi sian retan ĉeeston.
Bildigo de la kresko de trafika ĉifrado en la reto
Ĉifrado en makroekonomio
La sistemo de Ĉifrita Trafika Analizo (ETA) estas necesa ĝuste por labori kun ĉifrita trafiko sen deĉifri ĝin. Atakantoj estas inteligentaj kaj uzas ĉifrad-algoritmojn kontraŭ kript-rezistemaj, kaj rompi ilin ne nur estas problemo, sed ankaŭ ege multekosta por organizoj.
La sistemo funkcias jene. Iom da trafiko venas al la kompanio. Ĝi falas en TLS (transporta tavolo sekureco). Ni diru, ke la trafiko estas ĉifrita. Ni provas respondi kelkajn demandojn pri kia ligo estis farita.
Kiel funkcias la sistemo de Ĉifrita Trafika Analizo (ETA).
Por respondi ĉi tiujn demandojn ni uzas maŝinlernadon en ĉi tiu sistemo. Esploro de Cisco estas prenita kaj surbaze de ĉi tiuj studoj kreas tabelon el 2 rezultoj - malica kaj "bona" trafiko. Kompreneble, ni ne scias certe, kia trafiko eniris la sistemon rekte en la nuna momento, sed ni povas spuri la historion de trafiko kaj ene kaj ekster la kompanio uzante datumojn de la monda scenejo. Fine de ĉi tiu etapo, ni ricevas grandegan tabelon kun datumoj.
Surbaze de la rezultoj de la studo, karakterizaj trajtoj estas identigitaj - certaj reguloj kiuj povas esti skribitaj en matematika formo. Ĉi tiuj reguloj multe varias depende de malsamaj kriterioj - la grandeco de la transdonitaj dosieroj, la tipo de konekto, la lando de kiu ĉi tiu trafiko venas, ktp. Kiel rezulto de la laboro, la grandega tablo fariĝis aro da amasoj da formuloj. Estas malpli da ili, sed ĉi tio ne sufiĉas por komforta laboro.
Poste, maŝinlernado teknologio estas aplikata - formula konverĝo kaj surbaze de la rezulto de konverĝo ni ricevas ellasilon - ŝaltilon, kie kiam la datumoj estas eligitaj ni ricevas ŝaltilon (flago) en la levita aŭ malaltigita pozicio.
La rezulta etapo akiras aron da ellasiloj, kiuj kovris 99% de la trafiko.
Trafika inspektado en ETA
Rezulte de la laboro, alia problemo estas solvita - atako de interne. Ne plu necesas homoj en la mezo filtri trafikon permane (mi dronas min ĉi-momente). Unue, vi ne plu bezonas elspezi multe da mono por kompetenta sistemadministranto (mi daŭre dronas min). Due, ne estas danĝero de hakado de interne (almenaŭ parte).
Malmoderna Viro-en-la-Meza Koncepto
Nun, ni eltrovu, sur kio baziĝas la sistemo.
La sistemo funkcias per 4 komunikaj protokoloj: TCP/IP - Interreta transiga protokolo, DNS - domajna nomservilo, TLS - protokolo pri transporta tavolo, SPLT (SpaceWire Physical Layer Tester) - fizika komunika tavolo-testilo.
Protokoloj laborantaj kun ETA
Komparo estas farita per komparo de datumoj. Uzante TCP/IP-protokolojn, la reputacio de retejoj estas kontrolita (vizithistorio, celo de kreado de la retejo, ktp.), danke al la DNS-protokolo, ni povas forĵeti "malbonajn" retejo-adresojn. La TLS-protokolo funkcias kun la fingrospuro de retejo kaj kontrolas la retejon kontraŭ komputila krizresponda teamo (cert). La lasta paŝo por kontroli la konekton estas kontroli ĉe la fizika nivelo. La detaloj de ĉi tiu etapo ne estas precizigitaj, sed la punkto estas kiel sekvas: kontrolado de la sinusaj kaj kosinusaj kurboj de datumtranssendokurboj sur oscilografaj instalaĵoj, t.e. Danke al la strukturo de la peto ĉe la fizika tavolo, ni determinas la celon de la konekto.
Kiel rezulto de la funkciado de la sistemo, ni povas akiri datumojn de ĉifrita trafiko. Ekzamenante pakaĵojn, ni povas legi kiel eble plej multe da informoj de la neĉifritaj kampoj en la pako mem. Inspektante la pakaĵon ĉe la fizika tavolo, ni malkovras la karakterizaĵojn de la pako (parte aŭ tute). Ankaŭ ne forgesu pri la reputacio de la retejoj. Se la peto venis de iu .onion fonto, vi ne devus fidi ĝin. Por faciligi labori kun ĉi tiu speco de datumoj, riskomapo estis kreita.
Rezulto de la laboro de ETA
Kaj ĉio ŝajnas esti bona, sed ni parolu pri reto-deplojo.
Fizika efektivigo de ETA
Kelkaj nuancoj kaj subtilecoj aperas ĉi tie. Unue, kiam oni kreas tian
retoj kun altnivela programaro, necesas datumkolektado. Kolektu datumojn permane tute
sovaĝa, sed efektivigo de respondsistemo jam estas pli interesa. Due, la datumoj
devus esti multe, kio signifas, ke la instalitaj retaj sensiloj devas funkcii
ne nur aŭtonome, sed ankaŭ en fajne agordita reĝimo, kiu kreas kelkajn malfacilaĵojn.
Sensiloj kaj Stealthwatch-sistemo
Instali sensilon estas unu afero, sed agordi ĝin estas tute alia tasko. Por agordi sensilojn, ekzistas komplekso, kiu funkcias laŭ la sekva topologio - ISR = Cisco Integrated Services Router; ASR = Enkursigilo de Cisco Agregation Services; CSR = Cisco Cloud Services Router; WLC = Cisco Wireless LAN-Regilo; IE = Cisco Industrial Ethernet Switch; ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defense Solution; WSA = Reteja Sekureca Aparato; ISE = Motoro pri Identecaj Servoj
Ampleksa monitorado konsiderante ajnajn telemetriajn datumojn
Retaj administrantoj komencas sperti aritmion de la nombro da vortoj "Cisco" en la antaŭa alineo. La prezo de ĉi tiu miraklo ne estas malgranda, sed ne pri tio ni parolas hodiaŭ...
La konduto de la hakisto estos modeligita jene. Stealthwatch zorge kontrolas la agadon de ĉiu aparato en la reto kaj kapablas krei ŝablonon de normala konduto. Aldone, ĉi tiu solvo disponigas profundajn sciojn pri konata malkonvena konduto. La solvo uzas proksimume 100 malsamajn analizalgoritmojn aŭ heŭristikojn, kiuj traktas malsamajn specojn de trafika konduto kiel ekzemple skanado, gastigaj alarmkadroj, krudfortaj ensalutoj, ŝajna datumkaptado, ŝajna datumfluado ktp. La sekurecaj eventoj listigitaj kategoriiĝas sub la kategorio de altnivelaj logikaj alarmoj. Iuj sekurecaj eventoj ankaŭ povas ekigi alarmon memstare. Tiel, la sistemo kapablas korelacii plurajn izolitajn anomaliajn okazaĵojn kaj kunmeti ilin por determini la eblan tipon de atako, kaj ankaŭ ligi ĝin al specifa aparato kaj uzanto (Figuro 2). En la estonteco, la okazaĵo povas esti studita laŭlonge de la tempo kaj konsiderante la rilatajn telemetriajn datumojn. Ĉi tio konsistigas kuntekstan informon plej bone. Kuracistoj ekzamenantaj pacienton por kompreni kio estas malbona, ne rigardas la simptomojn izole. Ili rigardas la grandan bildon por fari diagnozon. Same, Stealthwatch kaptas ĉiun anomalian agadon en la reto kaj ekzamenas ĝin holisme por sendi kuntekstemajn alarmojn, tiel helpante sekurecajn profesiulojn prioritatigi riskojn.
Detekto de anomalioj uzante kondutmodeladon
La fizika deplojo de la reto aspektas jene:
Opcio de disfalda reto de branĉo (simpligita)
Opcio pri disfalda reto de branĉo
La reto estis deplojita, sed la demando pri la neŭrono restas malfermita. Ili organizis reton de transdono de datumoj, instalis sensilojn sur la sojloj kaj lanĉis informkolektan sistemon, sed la neŭrono ne partoprenis en la afero. Adiaŭ.
Plurtavola neŭrala reto
La sistemo analizas konduton de uzanto kaj aparato por detekti malicajn infektojn, komunikadojn kun komandaj kaj kontrolaj serviloj, datumfluojn kaj eble nedeziratajn aplikojn kurantajn en la infrastrukturo de la organizo. Estas multoblaj tavoloj de datumtraktado kie kombinaĵo de artefarita inteligenteco, maŝinlernado kaj matematikaj statistikaj teknikoj helpas al la reto memlerni sian normalan agadon por ke ĝi povu detekti malican agadon.
La retsekureca analiza dukto, kiu kolektas telemetriajn datumojn de ĉiuj partoj de la etendita reto, inkluzive de ĉifrita trafiko, estas unika trajto de Stealthwatch. Ĝi iom post iom disvolvas komprenon pri kio estas "nenormala", tiam klasifikas la faktajn individuajn elementojn de "minacagado", kaj finfine faras finan juĝon ĉu la aparato aŭ uzanto efektive estis endanĝerigitaj. La kapablo kunmeti malgrandajn pecojn, kiuj kune formas la indicon por fari finan decidon pri ĉu valoraĵo estis endanĝerigita, venas per tre zorgema analizo kaj korelacio.
Ĉi tiu kapablo estas grava ĉar tipa komerco povas ricevi grandegan nombron da alarmoj ĉiutage, kaj estas neeble esplori ĉiun ĉar sekurecaj profesiuloj havas limigitajn rimedojn. La maŝinlernada modulo prilaboras vastajn kvantojn da informoj preskaŭ en reala tempo por identigi kritikajn okazaĵojn kun alta fido, kaj ankaŭ kapablas disponigi klarajn agadmanieroj por rapida rezolucio.
Ni rigardu pli detale la multajn maŝinlernajn teknikojn uzatajn de Stealthwatch. Kiam okazaĵo estas sendita al la maŝinlernado de Stealthwatch, ĝi pasas tra sekureca analiza funelo kiu uzas kombinaĵon de kontrolitaj kaj nekontrolitaj maŝinlernadteknikoj.
Plurnivelaj maŝinlernado kapabloj
Nivelo 1. Detekto de anomalioj kaj fidmodeligado
Sur ĉi tiu nivelo, 99% de trafiko estas forĵetitaj uzante statistikajn anomalidetektilojn. Tiuj sensiloj kune formas kompleksajn modelojn de kio estas normala kaj kio, male, estas nenormala. Tamen, la nenormala ne estas nepre malutila. Multo de tio, kio okazas en via reto, havas nenion komunan kun la minaco—ĝi estas nur stranga. Gravas klasifiki tiajn procezojn sen konsidero al minaca konduto. Tial, la rezultoj de tiaj detektiloj estas plue analizitaj por kapti strangan konduton, kiu povas esti klarigita kaj fidinda. Finfine, nur malgranda frakcio de la plej gravaj fadenoj kaj petoj atingas la tavolojn 2 kaj 3. Sen la uzo de tiaj maŝinlernadoteknikoj, la funkciaj kostoj de apartigado de la signalo de la bruo estus tro altaj.
Detekto de anomalioj. La unua paŝo en anomaliodetekto uzas statistikajn maŝinlernajn teknikojn por apartigi statistike normalan trafikon de anomalia trafiko. Pli ol 70 individuaj detektiloj prilaboras la telemetriajn datumojn, kiujn Stealthwatch kolektas pri trafiko, kiu trapasas vian retan perimetron, apartigante internan trafikon de Domajna Nomsistemo (DNS) de datumoj de prokura servilo, se ekzistas. Ĉiu peto estas prilaborita per pli ol 70 detektiloj, kie ĉiu detektilo uzas sian propran statistikan algoritmon por formi takson de la detektitaj anomalioj. Tiuj poentaroj estas kombinitaj kaj multoblaj statistikaj metodoj estas uzataj por produkti ununuran poentaron por ĉiu individua demando. Tiu entuta poentaro tiam kutimas apartigi normalan kaj nenormalan trafikon.
Modeligado de konfido. Poste, similaj petoj estas grupigitaj, kaj la entuta anomaliopoentaro por tiaj grupoj estas determinita kiel longperspektiva mezumo. Kun la tempo, pli da demandoj estas analizitaj por determini la longperspektivan mezumon, tiel reduktante falsajn pozitivojn kaj malverajn negativajn. La fidmodelaj rezultoj estas uzataj por elekti subaron de trafiko kies anomaliopoentaro superas iun dinamike determinitan sojlon por moviĝi al la sekva pretignivelo.
Nivelo 2. Eventklasifiko kaj objektomodeligado
Je ĉi tiu nivelo, la rezultoj akiritaj en la antaŭaj stadioj estas klasifikitaj kaj atribuitaj al specifaj malicaj eventoj. Eventoj estas klasifikitaj surbaze de la valoro asignita de maŝinlernantaj klasifikiloj por certigi konsekvencan precizecan indicon super 90%. Inter ili:
- liniaj modeloj bazitaj sur la Neyman-Pearson-lemo (la leĝo de normala distribuo de la grafeo komence de la artikolo)
- subtenu vektorajn maŝinojn uzante plurvarian lernadon
- neŭralaj retoj kaj la hazarda arbara algoritmo.
Tiuj izolitaj sekurecaj okazaĵoj tiam estas rilataj al ununura finpunkto dum tempo. Ĝuste en ĉi tiu etapo formiĝas minaca priskribo, surbaze de kiu kompleta bildo estas kreita pri kiel la koncerna atakanto sukcesis atingi certajn rezultojn.
Klasifiko de eventoj. La statistike anomalia subaro de la antaŭa nivelo estas distribuita en 100 aŭ pli da kategorioj uzante klasigilojn. La plej multaj klasifikiloj baziĝas sur individua konduto, gruprilatoj aŭ konduto sur tutmonda aŭ loka skalo, dum aliaj povas esti sufiĉe specifaj. Ekzemple, la klasigilo povus indiki C&C-trafikon, suspektindan etendaĵon, aŭ neaŭtorizitan programaron ĝisdatigon. Surbaze de la rezultoj de ĉi tiu etapo, estas formita aro de anomaliaj eventoj en la sekureca sistemo, klasifikitaj en iujn kategoriojn.
Objektmodeligado. Se la kvanto de indico apoganta la hipotezon ke speciala objekto estas damaĝa superas la gravecsojlon, minaco estas determinita. Gravaj okazaĵoj kiuj influis la difinon de minaco estas rilataj al tia minaco kaj iĝas parto de diskreta longperspektiva modelo de la objekto. Ĉar indico akumuliĝas dum tempo, la sistemo identigas novajn minacojn kiam la materialecsojlo estas atingita. Ĉi tiu sojla valoro estas dinamika kaj estas inteligente ĝustigita surbaze de la nivelo de minaca risko kaj aliaj faktoroj. Post ĉi tio, la minaco aperas sur la informa panelo de la retinterfaco kaj estas translokigita al la sekva nivelo.
Nivelo 3. Rilata Modelado
La celo de rilatmodeligado estas sintezi la rezultojn akiritajn ĉe antaŭaj niveloj de tutmonda perspektivo, konsiderante ne nur la lokan sed ankaŭ la tutmondan kuntekston de la koncerna okazaĵo. Ĝuste en ĉi tiu etapo vi povas determini kiom da organizoj renkontis tian atakon por kompreni ĉu ĝi celis specife al vi aŭ estas parto de tutmonda kampanjo, kaj vi ĵus kaptis.
Okazaĵoj estas konfirmitaj aŭ malkovritaj. Kontrolita okazaĵo implicas 99 ĝis 100% fidon ĉar la rilataj teknikoj kaj iloj antaŭe estis observitaj en ago sur pli granda (tutmonda) skalo. Okazaĵoj detektitaj estas unikaj por vi kaj formas parton de tre celita kampanjo. Pasintaj trovoj estas dividitaj kun konata procedmaniero, ŝparante al vi tempon kaj rimedojn en respondo. Ili venas kun la enketaj iloj, kiujn vi bezonas por kompreni, kiu atakis vin kaj kiom la kampanjo celis vian ciferecan komercon. Kiel vi povas imagi, la nombro da konfirmitaj okazaĵoj multe superas la nombron da detektitaj pro la simpla kialo, ke konfirmitaj okazaĵoj ne implicas multe da kosto por atakantoj, dum detektitaj okazaĵoj jes.
multekostaj ĉar ili devas esti novaj kaj personecigitaj. Kreante la kapablon identigi konfirmitajn okazaĵojn, la ekonomiko de la ludo finfine ŝanĝiĝis en favoro de defendantoj, donante al ili klaran avantaĝon.
Plurnivela trejnado de neŭrala koneksa sistemo bazita sur ETA
Tutmonda riska mapo
La tutmonda riska mapo estas kreita per analizo aplikita de maŝinlernado-algoritmoj al unu el la plej grandaj datumaroj de sia speco en la industrio. Ĝi disponigas ampleksajn kondutajn statistikojn pri serviloj en la Interreto, eĉ se ili estas nekonataj. Tiaj serviloj estas rilataj al atakoj kaj povas esti implikitaj aŭ uzitaj kiel parto de atako en la estonteco. Ĉi tio ne estas "nigra listo", sed ampleksa bildo de la koncerna servilo el sekureca vidpunkto. Ĉi tiu kunteksta informo pri la aktiveco de ĉi tiuj serviloj permesas al la maŝinlernantaj detektiloj kaj klasigiloj de Stealthwatch precize antaŭdiri la nivelon de risko asociita kun komunikadoj kun tiaj serviloj.
Vi povas vidi disponeblajn kartojn .
Mondmapo montranta 460 milionojn da IP-adresoj
Nun la reto lernas kaj staras por protekti vian reton.
Fine, oni trovis panaceon?
Bedaŭrinde, neniu. Laŭ sperto laboranta kun la sistemo, mi povas diri, ke estas 2 tutmondaj problemoj.
Problemo 1. Prezo. La tuta reto estas deplojita sur Cisco-sistemo. Ĉi tio estas kaj bona kaj malbona. La bona flanko estas, ke vi ne devas ĝeni kaj instali amason da ŝtopiloj kiel D-Link, MikroTik, ktp. La malavantaĝo estas la grandega kosto de la sistemo. Konsiderante la ekonomian staton de rusa komerco, nuntempe nur riĉa posedanto de granda kompanio aŭ banko povas pagi ĉi tiun miraklon.
Problemo 2: Trejnado. Mi ne skribis en la artikolo la trejnan periodon por la neŭrala reto, sed ne ĉar ĝi ne ekzistas, sed ĉar ĝi lernas la tutan tempon kaj ni ne povas antaŭdiri kiam ĝi lernos. Kompreneble, ekzistas iloj de matematika statistiko (prenu la saman formulon de la Pearson-konverĝa kriterio), sed ĉi tiuj estas duonmezuroj. Ni ricevas la probablon filtri trafikon, kaj eĉ tiam nur sub la kondiĉo, ke la atako jam estas regita kaj konata.
Malgraŭ ĉi tiuj 2 problemoj, ni faris grandan salton en la disvolviĝo de informa sekureco ĝenerale kaj reta protekto aparte. Ĉi tiu fakto povas esti motiviga por la studo de retaj teknologioj kaj neŭralaj retoj, kiuj nun estas tre promesplena direkto.
fonto: www.habr.com