Süsteem liikluse analüüsimiseks ilma seda dekrüpteerimata. Seda meetodit nimetatakse lihtsalt "masinõppeks". Selgus, et kui spetsiaalse klassifikaatori sisendisse suunata väga suur hulk erinevat liiklust, suudab süsteem väga suure tõenäosusega tuvastada pahatahtliku koodi tegevust krüptitud liikluse sees.
Interneti-ohud on muutunud ja muutunud targemaks. Viimasel ajal on muutunud rünnaku ja kaitse mõiste. Võrgustiku sündmuste arv on oluliselt suurenenud. Rünnakud on muutunud keerukamaks ja häkkeritel on laiem haare.
Cisco statistika kohaselt on ründajad viimase aasta jooksul kolmekordistanud oma tegevuseks kasutatava pahavara või õigemini krüptimise arvu nende varjamiseks. Teooriast on teada, et “õiget” krüpteerimisalgoritmi ei saa rikkuda. Selleks, et mõista, mis krüpteeritud liikluse sees peidus on, tuleb see kas võtit teades dekrüpteerida või proovida dekrüpteerida erinevate nippidega või otse häkkides või kasutades mingeid turvaauke krüptograafilistes protokollides.
Pilt meie aja võrguohtudest
Masinõpe
Tunne tehnoloogiat isiklikult! Enne kui rääkida sellest, kuidas masinõppel põhinev dekrüpteerimistehnoloogia ise töötab, on vaja mõista, kuidas närvivõrgu tehnoloogia töötab.
Masinõpe on tehisintellekti lai alajaotis, mis uurib meetodeid õppimisvõimeliste algoritmide koostamiseks. Selle teaduse eesmärk on luua matemaatilisi mudeleid arvuti "koolitamiseks". Õppimise eesmärk on midagi ette ennustada. Inimmõistes nimetame seda protsessi sõnaks "tarkus". Tarkus avaldub inimestel, kes on elanud üsna kaua (2-aastane laps ei saa olla tark). Vanemate kamraadide poole nõu saamiseks pöördudes anname neile sündmuse kohta veidi infot (sisendandmed) ja palume abi. Nemad omakorda mäletavad elust kõiki olukordi, mis on kuidagi seotud sinu probleemiga (teadmiste baasiga) ja annavad nende teadmiste (andmete) põhjal meile omamoodi ennustuse (nõu). Seda tüüpi nõuandeid hakati nimetama ennustamiseks, kuna nõuandja ei tea kindlalt, mis juhtub, vaid ainult eeldab. Elukogemus näitab, et inimesel võib olla õigus, või ta võib eksida.
Te ei tohiks võrrelda närvivõrke hargnemisalgoritmiga (if-else). Need on erinevad asjad ja neil on peamised erinevused. Hargnemisalgoritmil on selge "arusaam", mida teha. Ma demonstreerin näidetega.
Ülesanne. Määrake auto pidurdusteekond selle margi ja tootmisaasta põhjal.
Hargnemisalgoritmi näide. Kui auto on marki 1 ja välja antud 2012. aastal, on selle pidurdusteekond 10 meetrit, muul juhul, kui auto on mark 2 ja välja antud 2011. aastal jne.
Näide närvivõrgust. Kogume andmeid auto pidurdusteekonna kohta viimase 20 aasta jooksul. Margi ja aasta järgi koostame tabeli kujul “tootmisaasta mark-pidurdusteekond”. Väljastame selle tabeli närvivõrgule ja hakkame seda õpetama. Treening toimub järgmiselt: edastame andmed närvivõrku, kuid ilma pidurdusrajata. Neuron püüab ennustada, milline saab olema pidurdusteekond temasse laaditud tabeli põhjal. Ennustab midagi ja küsib kasutajalt "Kas mul on õigus?" Enne küsimust loob ta neljanda veeru, arvamise veeru. Kui tal on õigus, kirjutab ta neljandasse veergu 1, kui ta eksib, siis 0. Närvivõrk liigub edasi järgmisele sündmusele (isegi kui ta tegi vea). Nii õpib võrgustik ja kui koolitus on läbitud (teatud konvergentsi kriteerium on saavutatud), esitame meid huvitava auto kohta andmed ja saame lõpuks vastuse.
Et eemaldada küsimus konvergentsikriteeriumi kohta, selgitan, et see on statistika matemaatiliselt tuletatud valem. Ilmekas näide kahest erinevast lähenemisvalemist. Punane – binaarne konvergents, sinine – normaalne konvergents.
Binoom- ja normaaltõenäosuse jaotused
Selle selgemaks muutmiseks esitage küsimus "Kui suur on tõenäosus kohtuda dinosaurusega?" Siin on 2 võimalikku vastust. 1. variant – väga väike (sinine graafik). Variant 2 – kas koosolek või mitte (punane graafik).
Muidugi pole arvuti inimene ja ta õpib erinevalt. Raudhobuste treeninguid on kahte tüüpi: juhtumipõhine õpe и deduktiivne õpe.
Pretsedendipõhine õpetamine on matemaatilisi seadusi kasutades õpetamise viis. Matemaatikud koguvad statistikatabeleid, teevad järeldusi ja laadivad tulemuse närvivõrku – arvutamise valem.
Deduktiivne õppimine – õppimine toimub täielikult neuronis (andmete kogumisest selle analüüsini). Siin moodustatakse tabel ilma valemita, kuid statistikaga.
Tehnoloogia laiaulatusliku ülevaate saamiseks kuluks veel paarkümmend artiklit. Praegu sellest meie üldiseks arusaamiseks piisab.
Neuroplastilisus
Bioloogias on selline mõiste - neuroplastilisus. Neuroplastilisus on neuronite (ajurakkude) võime toimida "vastavalt olukorrale". Näiteks nägemise kaotanud inimene kuuleb paremini helisid, haistab ja tajub esemeid. See on tingitud asjaolust, et nägemise eest vastutav ajuosa (neuronite osa) jaotab oma töö ümber teistele funktsioonidele.
Ilmekas näide neuroplastilisusest elus on BrainPorti pulgakomm.
2009. aastal teatas Madisoni Wisconsini Ülikool uue seadme väljalaskmisest, mis arendas välja “keelekuvari” ideed – seda nimetati BrainPortiks. BrainPort töötab järgmise algoritmi järgi: videosignaal saadetakse kaamerast protsessorisse, mis juhib suumi, heledust ja muid pildi parameetreid. Samuti muudab see digitaalsed signaalid elektrilisteks impulssideks, võttes sisuliselt üle võrkkesta funktsioonid.
BrainPort pulgakomm prillide ja kaameraga
BrainPort tööl
Sama arvutiga. Kui närvivõrk tajub protsessi muutust, kohaneb ta sellega. See on närvivõrkude peamine eelis võrreldes teiste algoritmidega – autonoomia. Omamoodi inimlikkus.
Krüpteeritud liiklusanalüüs
Krüpteeritud liiklusanalüüs on osa Stealthwatch süsteemist. Stealthwatch on Cisco sisenemine turvaseire- ja analüüsilahendustesse, mis kasutab olemasoleva võrguinfrastruktuuri ettevõtte telemeetriaandmeid.
Stealthwatch Enterprise põhineb voolukiiruse litsentsi, voolukoguja, halduskonsooli ja vooluanduri tööriistadel.
Cisco Stealthwatchi liides
Krüpteerimise probleem muutus väga teravaks, kuna hakati krüpteerima palju rohkem liiklust. Varem krüpteeriti (peamiselt) ainult kood, kuid nüüd on kogu liiklus krüpteeritud ja “puhaste” andmete eraldamine viirustest on muutunud palju keerulisemaks. Ilmekas näide on WannaCry, mis kasutas Tori oma veebipõhise kohaloleku varjamiseks.
Liikluse krüptimise kasvu visualiseerimine võrgus
Krüpteerimine makromajanduses
Krüpteeritud liiklusanalüüsi (ETA) süsteem on vajalik just krüpteeritud liiklusega töötamiseks ilma seda dekrüpteerimata. Ründajad on nutikad ja kasutavad krüptokindlaid krüpteerimisalgoritme ning nende murdmine pole organisatsioonide jaoks mitte ainult probleem, vaid ka ülimalt kulukas.
Süsteem töötab järgmiselt. Osa liiklust tuleb ettevõttesse. See kuulub TLS-i (transpordikihi turvalisus). Oletame, et liiklus on krüpteeritud. Püüame vastata mitmele küsimusele, milline ühendus loodi.
Kuidas krüptitud liiklusanalüüsi (ETA) süsteem töötab
Nendele küsimustele vastamiseks kasutame selles süsteemis masinõpet. Võetakse Cisco uuringud ja nende uuringute põhjal koostatakse tabel kahest tulemusest - pahatahtlik ja "hea" liiklus. Muidugi ei tea me täpselt, milline liiklus praegusel ajahetkel otse süsteemi sisenes, kuid maailma areenil olevate andmete põhjal saame jälgida liikluse ajalugu nii ettevõtte sees kui ka väljaspool seda. Selle etapi lõpus saame tohutu andmetega tabeli.
Uuringu tulemuste põhjal selgitatakse välja iseloomulikud tunnused - teatud reeglid, mida saab matemaatilisel kujul kirja panna. Need reeglid varieeruvad suuresti sõltuvalt erinevatest kriteeriumidest – edastatud failide suurus, ühenduse tüüp, riik, kust see liiklus tuleb, jne. Töö tulemusena muutus tohutu laud valemihunnikuks. Neid on vähem, kuid mugavaks tööks sellest ei piisa.
Järgmisena rakendatakse masinõppe tehnoloogiat - valemkonvergentsi ja konvergentsi tulemuse põhjal saame trigeri - lüliti, kus andmete väljastamisel saame lüliti (lipu) kas tõstetud või langetatud asendisse.
Tulemuseks on päästikute komplekti hankimine, mis kattis 99% liiklusest.
Liikluskontrolli sammud ETA-s
Töö tulemusena laheneb veel üks probleem – rünnak seestpoolt. Enam pole vaja, et inimesed keset keskel liiklust käsitsi filtreeriksid (ma uputan ennast siinkohal ära). Esiteks ei pea te enam kulutama palju raha pädevale süsteemiadministraatorile (ma jätkan enda uppumist). Teiseks pole seestpoolt (vähemalt osaliselt) häkkimise ohtu.
Vananenud kontseptsioon "Man-in-the-Middle".
Nüüd selgitame välja, millel süsteem põhineb.
Süsteem töötab 4 sideprotokollil: TCP/IP – Interneti andmeedastusprotokoll, DNS – domeeninimeserver, TLS – transpordikihi turvaprotokoll, SPLT (SpaceWire Physical Layer Tester) – füüsilise sidekihi tester.
ETA-ga töötavad protokollid
Võrdlus toimub andmete võrdlemise teel. TCP/IP protokolle kasutades kontrollitakse saitide mainet (külastusajalugu, saidi loomise eesmärk jne), tänu DNS-protokollile saame “halvad” saidi aadressid kõrvale jätta. TLS-protokoll töötab saidi sõrmejäljega ja kontrollib saiti arvuti hädaolukordadele reageerimise meeskonnaga (sertifikaadiga). Ühenduse kontrollimise viimane samm on füüsilisel tasemel kontrollimine. Selle etapi üksikasju ei täpsustata, kuid asi on järgmine: andmeedastuskõverate siinus- ja koosinuskõverate kontrollimine ostsillograafilistel installatsioonidel, s.o. Tänu taotluse struktuurile füüsilises kihis määrame ühenduse eesmärgi.
Süsteemi töö tulemusena saame andmeid krüpteeritud liiklusest. Pakette uurides saame võimalikult palju infot lugeda paketi enda krüptimata väljadelt. Kontrollides paketti füüsilisel kihil, saame teada paketi omadused (osaliselt või täielikult). Ärge unustage ka saitide mainet. Kui päring tuli mõnest .onion allikast, siis ei tasu seda usaldada. Seda tüüpi andmetega töötamise hõlbustamiseks on loodud riskikaart.
ETA töö tulemus
Ja kõik näib olevat korras, kuid räägime võrgu juurutamisest.
ETA füüsiline teostus
Siin ilmnevad mitmed nüansid ja nüansid. Esiteks sellise loomisel
kõrgetasemelise tarkvaraga võrkudes, on vajalik andmete kogumine. Koguge andmed täielikult käsitsi
metsik, kuid reageerimissüsteemi rakendamine on juba huvitavam. Teiseks andmed
peaks olema palju, mis tähendab, et paigaldatud võrguandurid peavad töötama
mitte ainult autonoomselt, vaid ka peenhäälestatud režiimis, mis tekitab mitmeid raskusi.
Andurid ja Stealthwatch süsteem
Anduri paigaldamine on üks asi, kuid selle seadistamine on täiesti erinev ülesanne. Andurite konfigureerimiseks on kompleks, mis töötab järgmise topoloogia järgi - ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = Cisco pilveteenuste ruuter; WLC = Cisco juhtmevaba kohtvõrgu kontroller; IE = Cisco tööstuslik Etherneti lüliti; ASA = Cisco Adaptive Security Appliance; FTD = Cisco tulejõu ohukaitselahendus; WSA = Web Security Appliance; ISE = identiteediteenuste mootor
Põhjalik jälgimine, võttes arvesse kõiki telemeetrilisi andmeid
Võrguadministraatorid hakkavad kogema rütmihäireid sõnade arvust "Cisco" eelmises lõigus. Selle ime hind ei ole väike, kuid see pole see, millest me täna räägime ...
Häkkeri käitumist modelleeritakse järgmiselt. Stealthwatch jälgib hoolikalt iga võrgus oleva seadme tegevust ja suudab luua tavapärase käitumismustri. Lisaks annab see lahendus sügava ülevaate teadaolevast sobimatust käitumisest. Lahendus kasutab ligikaudu 100 erinevat analüüsialgoritmi või heuristikat, mis käsitlevad erinevat tüüpi liikluskäitumist, nagu skannimine, hosti häireraamid, jõhkra jõuga sisselogimised, kahtlustatavad andmete kogumine, kahtlustatavad andmeleketid jne. Loetletud turvasündmused kuuluvad kõrgetasemeliste loogiliste häirete kategooriasse. Mõned turvasündmused võivad ka iseenesest häire käivitada. Seega suudab süsteem seostada mitut isoleeritud anomaalset intsidenti ja panna need kokku, et määrata kindlaks võimalik ründetüüp, samuti siduda see konkreetse seadme ja kasutajaga (joonis 2). Tulevikus saab intsidenti uurida aja jooksul ja võttes arvesse sellega seotud telemeetria andmeid. See kujutab endast kontekstuaalset teavet oma parimal moel. Arstid, kes uurivad patsienti, et mõista, mis viga on, ei vaata sümptomeid eraldi. Nad vaatavad diagnoosi panemiseks suurt pilti. Samuti jäädvustab Stealthwatch iga ebanormaalse tegevuse võrgus ja uurib seda terviklikult, et saata kontekstiteadlikke häireid, aidates sellega turvaspetsialistidel riske tähtsuse järjekorda seada.
Anomaaliate tuvastamine käitumise modelleerimise abil
Võrgu füüsiline juurutamine näeb välja selline:
Haruvõrgu juurutamise valik (lihtsustatud)
Haruvõrgu juurutamise võimalus
Võrk on kasutusele võetud, kuid küsimus neuroni kohta jääb lahtiseks. Korraldasid andmeedastusvõrgu, paigaldasid lävedele andurid ja käivitasid infokogumissüsteemi, kuid neuron asjast osa ei võtnud. Hüvasti.
Mitmekihiline närvivõrk
Süsteem analüüsib kasutajate ja seadmete käitumist, et tuvastada pahatahtlikke infektsioone, sidet käsu- ja juhtimisserveritega, andmelekkeid ja potentsiaalselt soovimatuid rakendusi, mis töötavad organisatsiooni infrastruktuuris. Andmetöötlusel on mitu kihti, kus tehisintellekti, masinõppe ja matemaatilise statistika tehnikate kombinatsioon aitab võrgul oma tavapärast tegevust ise õppida, et pahatahtlikku tegevust tuvastada.
Võrguturbe analüüsi torujuhe, mis kogub telemeetriaandmeid laiendatud võrgu kõikidest osadest, sealhulgas krüptitud liiklusest, on Stealthwatchi ainulaadne funktsioon. See arendab järk-järgult arusaama sellest, mis on "anomaalia", seejärel liigitab "ohutegevuse" tegelikud üksikud elemendid ja lõpuks teeb lõpliku otsuse selle kohta, kas seade või kasutaja on tegelikult ohustatud. Väga hoolika analüüsi ja korrelatsiooni kaudu on võimalik kokku panna väikesed tükid, mis koos moodustavad tõendid lõpliku otsuse tegemiseks selle kohta, kas vara on ohustatud.
See võimalus on oluline, sest tüüpiline ettevõte võib saada iga päev tohutul hulgal häireid ja iga üksikut on võimatu uurida, kuna turvaspetsialistide ressursid on piiratud. Masinõppemoodul töötleb suurel hulgal teavet peaaegu reaalajas, et tuvastada kriitilised intsidendid suure usaldusväärsusega, ning suudab pakkuda ka selgeid tegevussuundi kiireks lahendamiseks.
Vaatame lähemalt arvukaid masinõppetehnikaid, mida Stealthwatch kasutab. Kui intsident edastatakse Stealthwatchi masinõppemootorisse, läbib see turbeanalüüsi lehtri, mis kasutab järelevalvega ja järelevalveta masinõppetehnikate kombinatsiooni.
Mitmetasandilised masinõppe võimalused
1. tase. Anomaaliate tuvastamine ja usalduse modelleerimine
Sellel tasemel visatakse statistiliste anomaaliate detektorite abil kõrvale 99% liiklusest. Need andurid moodustavad koos keerukaid mudeleid selle kohta, mis on normaalne ja mis, vastupidi, ebanormaalne. Kuid ebanormaalne ei pruugi olla kahjulik. Paljudel teie võrgus toimuval pole ohtudega mingit pistmist – see on lihtsalt imelik. Oluline on selliseid protsesse klassifitseerida, arvestamata ähvardavat käitumist. Sel põhjusel analüüsitakse selliste detektorite tulemusi täiendavalt, et tabada kummalist käitumist, mida saab seletada ja usaldada. Lõppkokkuvõttes jõuab 2. ja 3. kihtidesse vaid väike osa kõige olulisematest lõimedest ja taotlustest. Ilma selliste masinõppetehnikate kasutamiseta oleksid signaali mürast eraldamise tegevuskulud liiga suured.
Anomaaliate tuvastamine. Anomaaliate tuvastamise esimene samm kasutab statistilisi masinõppe meetodeid, et eraldada statistiliselt normaalne liiklus anomaalsest liiklusest. Rohkem kui 70 individuaalset detektorit töötlevad telemeetriaandmeid, mida Stealthwatch kogub teie võrgu perimeetrit läbiva liikluse kohta, eraldades sisemise domeeninimesüsteemi (DNS) liikluse puhverserveri andmetest, kui neid on. Iga päringut töötleb rohkem kui 70 detektorit, kusjuures iga detektor kasutab tuvastatud kõrvalekallete hindamiseks oma statistilist algoritmi. Need hinded kombineeritakse ja iga üksiku päringu jaoks ühe skoori saamiseks kasutatakse mitut statistilist meetodit. Seda koondskoori kasutatakse siis tavalise ja anomaalse liikluse eraldamiseks.
Usalduse modelleerimine. Järgmisena rühmitatakse sarnased taotlused ja selliste rühmade anomaaliate koondskoor määratakse pikaajalise keskmisena. Aja jooksul analüüsitakse rohkem päringuid, et määrata kindlaks pikaajaline keskmine, vähendades seeläbi valepositiivseid ja valenegatiivseid tulemusi. Usalduse modelleerimise tulemusi kasutatakse liikluse alamhulga valimiseks, mille anomaalia skoor ületab mõne dünaamiliselt määratud läve, et liikuda järgmisele töötlemistasemele.
2. tase. Sündmuste klassifitseerimine ja objektide modelleerimine
Sellel tasemel klassifitseeritakse eelmistes etappides saadud tulemused ja määratakse need konkreetsetele pahatahtlikele sündmustele. Sündmused klassifitseeritakse masinõppe klassifikaatorite määratud väärtuse alusel, et tagada püsiv täpsusmäär üle 90%. Nende hulgas:
- lineaarsed mudelid, mis põhinevad Neymani-Pearsoni lemmal (normaaljaotuse seadus artikli alguses olevast graafikust)
- toetada vektormasinaid, mis kasutavad mitme muutujaga õppimist
- närvivõrgud ja juhuslik metsa algoritm.
Need isoleeritud turbesündmused seostatakse seejärel aja jooksul ühe lõpp-punktiga. Just selles etapis koostatakse ohukirjeldus, mille põhjal luuakse tervikpilt, kuidas vastaval ründajal õnnestus teatud tulemusi saavutada.
Sündmuste klassifikatsioon. Eelmise taseme statistiliselt anomaalne alamhulk jaotatakse klassifikaatorite abil 100 või enama kategooriasse. Enamik klassifikaatoreid põhinevad individuaalsel käitumisel, rühmasuhetel või käitumisel globaalsel või kohalikul skaalal, samas kui teised võivad olla üsna spetsiifilised. Näiteks võib klassifikaator näidata C&C liiklust, kahtlast laiendust või volitamata tarkvarauuendust. Selle etapi tulemuste põhjal moodustatakse turvasüsteemis teatud kategooriatesse liigitatud anomaalsete sündmuste kogum.
Objekti modelleerimine. Kui tõendite hulk, mis kinnitab hüpoteesi, et konkreetne objekt on kahjulik, ületab olulisuse künnise, määratakse oht. Asjakohased sündmused, mis mõjutasid ohu määratlust, seostatakse sellise ohuga ja muutuvad objekti diskreetse pikaajalise mudeli osaks. Kuna tõendeid aja jooksul koguneb, tuvastab süsteem olulisuse künnise saavutamisel uued ohud. See läviväärtus on dünaamiline ja seda kohandatakse nutikalt ohuriski taseme ja muude tegurite alusel. Pärast seda ilmub oht veebiliidese teabepaneelile ja kantakse üle järgmisele tasemele.
3. tase. Suhete modelleerimine
Seoste modelleerimise eesmärk on eelmistel tasanditel saadud tulemuste sünteesimine globaalsest vaatenurgast, võttes arvesse mitte ainult vastava juhtumi lokaalset, vaid ka globaalset konteksti. Just selles etapis saate kindlaks teha, kui paljud organisatsioonid on sellise rünnakuga kokku puutunud, et mõista, kas see oli suunatud konkreetselt teile või on osa ülemaailmsest kampaaniast ja te jäite just vahele.
Juhtumid kinnitatakse või avastatakse. Kontrollitud intsident viitab 99–100% usaldusväärsusele, kuna sellega seotud tehnikaid ja tööriistu on varem laiemas (ülemaailmses) skaalal täheldatud. Avastatud juhtumid on teie jaoks ainulaadsed ja moodustavad osa täpselt sihitud kampaaniast. Varasemaid leide jagatakse teadaolevate tegevussuundadega, mis säästab teie aega ja ressursse. Nendega on kaasas uurimistööriistad, mida vajate, et mõista, kes teid ründas ja mil määral oli kampaania suunatud teie digitaalsele ärile. Nagu võite ette kujutada, ületab kinnitatud juhtumite arv tunduvalt avastatud juhtumite arvu sel lihtsal põhjusel, et kinnitatud intsidendid ei too ründajatele palju kulusid, samas kui tuvastatud juhtumid teevad seda.
kallid, sest need peavad olema uued ja kohandatud. Luues võime tuvastada kinnitatud intsidente, on mängu ökonoomika lõpuks nihkunud kaitsjate kasuks, andes neile selge eelise.
ETA-l põhinev närviühendussüsteemi mitmetasandiline koolitus
Globaalne riskikaart
Ülemaailmne riskikaart luuakse analüüsi abil, mida masinõppealgoritmid rakendavad ühele suurimale omataolisele andmekogule selles valdkonnas. See pakub ulatuslikku käitumisstatistikat Interneti-serverite kohta, isegi kui need pole teada. Sellised serverid on seotud rünnakutega ja võivad tulevikus olla rünnakuga seotud või rünnaku osana kasutusel. See ei ole "must nimekiri", vaid terviklik pilt kõnealusest serverist turvalisuse seisukohast. See kontekstuaalne teave nende serverite tegevuse kohta võimaldab Stealthwatchi masinõppedetektoritel ja klassifikaatoritel täpselt ennustada selliste serveritega suhtlemisega seotud riskitaset.
Saate vaadata saadaolevaid kaarte .
Maailmakaart, millel on 460 miljonit IP-aadressi
Nüüd võrk õpib ja seisab teie võrgu kaitsmise eest.
Lõpuks on imerohi leitud?
Kahjuks ei. Süsteemiga töötamise kogemuse põhjal võin öelda, et globaalseid probleeme on 2.
Probleem 1. Hind. Kogu võrk on juurutatud Cisco süsteemis. See on nii hea kui ka halb. Hea külg on see, et te ei pea vaeva nägema ja installima hunnikut pistikuid nagu D-Link, MikroTik jne. Negatiivne külg on süsteemi tohutu hind. Arvestades Venemaa äri majanduslikku seisu, saab praegu seda imet endale lubada vaid jõukas suurettevõtte või panga omanik.
Probleem 2: koolitus. Ma ei kirjutanud artiklisse närvivõrgu koolitusperioodi, kuid mitte sellepärast, et seda pole olemas, vaid sellepärast, et see õpib kogu aeg ja me ei saa ennustada, millal see õpib. Muidugi on matemaatilise statistika tööriistu (võtke sama Pearsoni konvergentsikriteeriumi sõnastus), kuid need on pooled mõõdud. Saame liikluse filtreerimise tõenäosuse ja isegi siis ainult tingimusel, et rünnak on juba omandatud ja teada.
Vaatamata nendele 2 probleemile oleme teinud suure hüppe infoturbe arengus üldiselt ja võrgukaitses eriti. See asjaolu võib olla motiveeriv võrgutehnoloogiate ja närvivõrkude uurimisel, mis on praegu väga paljulubav suund.
Allikas: www.habr.com