تجزیه و تحلیل ترافیک رمزگذاری شده بدون رمزگشایی آن

سیستمی برای تجزیه و تحلیل ترافیک بدون رمزگشایی آن. این روش به سادگی «یادگیری ماشینی» نامیده می شود. مشخص شد که اگر حجم بسیار زیادی از ترافیک مختلف به ورودی یک طبقه‌بندی‌کننده خاص وارد شود، سیستم می‌تواند اعمال کدهای مخرب در داخل ترافیک رمزگذاری شده را با احتمال بسیار بالایی تشخیص دهد.

تهدیدات آنلاین تغییر کرده و هوشمندتر شده اند. اخیراً مفهوم حمله و دفاع تغییر کرده است. تعداد رویدادهای شبکه به میزان قابل توجهی افزایش یافته است. حملات پیچیده تر شده اند و هکرها دامنه وسیع تری دارند.

طبق آمار سیسکو، در طول یک سال گذشته، مهاجمان تعداد بدافزارهایی را که برای فعالیت‌های خود استفاده می‌کنند، یا بهتر است بگوییم رمزگذاری برای مخفی کردن آنها، سه برابر کرده‌اند. از نظر تئوری مشخص است که الگوریتم رمزگذاری "صحیح" نمی تواند شکسته شود. برای درک آنچه در داخل ترافیک رمزگذاری شده پنهان است، باید یا با دانستن کلید آن را رمزگشایی کرد یا با ترفندهای مختلف یا هک مستقیم و یا استفاده از نوعی آسیب پذیری در پروتکل های رمزنگاری سعی کرد رمزگشایی شود.

تصویری از تهدیدات شبکه ای زمان ما

فراگیری ماشین

فن آوری را شخصاً بشناسید! قبل از صحبت در مورد نحوه عملکرد خود فناوری رمزگشایی مبتنی بر یادگیری ماشین، لازم است بدانیم که فناوری شبکه عصبی چگونه کار می کند.

یادگیری ماشینی زیربخش وسیعی از هوش مصنوعی است که روش‌های ساخت الگوریتم‌هایی را مطالعه می‌کند که می‌توانند یاد بگیرند. هدف این علم ایجاد مدل های ریاضی برای "آموزش" یک کامپیوتر است. هدف از یادگیری پیش بینی چیزی است. در درک انسان، ما این فرآیند را کلمه می نامیم "حکمت". خرد خود را در افرادی نشان می دهد که برای مدت طولانی زندگی کرده اند (کودک 2 ساله نمی تواند عاقل باشد). وقتی برای مشاوره به رفقای ارشد مراجعه می کنیم، اطلاعاتی درباره رویداد (داده های ورودی) به آنها می دهیم و از آنها کمک می خواهیم. آنها نیز به نوبه خود تمام موقعیت هایی از زندگی را که به نوعی با مشکل شما مرتبط است (مبانی دانش) به یاد می آورند و بر اساس این دانش (داده ها)، نوعی پیش بینی (مشاوره) به ما می دهند. این نوع توصیه را پیش‌بینی نامیدند، زیرا شخصی که توصیه می‌کند مطمئن نیست که چه اتفاقی خواهد افتاد، بلکه فقط فرض می‌کند. تجربه زندگی نشان می دهد که یک شخص می تواند درست باشد یا ممکن است اشتباه کند.

شما نباید شبکه های عصبی را با الگوریتم انشعاب (if-else) مقایسه کنید. اینها چیزهای متفاوتی هستند و تفاوت های کلیدی دارند. الگوریتم انشعاب "درک" واضحی از آنچه باید انجام دهد دارد. من با مثال نشان خواهم داد.

وظیفه. فاصله ترمز خودرو را بر اساس برند و سال ساخت آن تعیین کنید.

نمونه ای از الگوریتم انشعاب. اگر خودرویی مارک 1 باشد و در سال 2012 عرضه شده باشد، فاصله ترمز آن 10 متر است و در غیر این صورت اگر خودرو مارک 2 باشد و در سال 2011 عرضه شده باشد و ....

نمونه ای از شبکه عصبی ما داده هایی را در مورد مسافت ترمز خودرو در 20 سال گذشته جمع آوری می کنیم. بر اساس ساخت و سال، جدولی به شکل "سال ساخت فاصله ترمزگیری" تهیه می کنیم. این جدول را برای شبکه عصبی صادر می کنیم و شروع به آموزش آن می کنیم. آموزش به شرح زیر انجام می شود: ما داده ها را به شبکه عصبی تغذیه می کنیم، اما بدون مسیر ترمز. نورون سعی می کند بر اساس جدول بارگذاری شده در آن، فاصله ترمز را پیش بینی کند. چیزی را پیش بینی می کند و از کاربر می پرسد "درست می گویم؟" قبل از سوال، او یک ستون چهارم ایجاد می کند، ستون حدس زدن. اگر درست می‌گوید، در ستون چهارم 1 می‌نویسد، اگر اشتباه می‌کند، 0 می‌نویسد. شبکه عصبی به رویداد بعدی می‌رود (حتی اگر اشتباه کرده باشد). اینگونه شبکه یاد می گیرد و پس از اتمام آموزش (به معیار همگرایی خاصی رسیده است) داده هایی را در مورد خودروی مورد نظر خود ارسال می کنیم و در نهایت پاسخ می گیریم.

برای حذف سوال در مورد معیار همگرایی، توضیح می دهم که این یک فرمول ریاضی مشتق شده برای آمار است. یک مثال قابل توجه از دو فرمول همگرایی مختلف. قرمز - همگرایی باینری، آبی - همگرایی عادی.

توزیع احتمال دو جمله ای و نرمال

برای روشن تر شدن موضوع، این سوال را بپرسید: "احتمال ملاقات با دایناسور چقدر است؟" 2 پاسخ ممکن در اینجا وجود دارد. گزینه 1 - بسیار کوچک (نمودار آبی). گزینه 2 - یا یک جلسه یا نه (گراف قرمز).

البته کامپیوتر یک شخص نیست و جور دیگری یاد می گیرد. 2 نوع آموزش اسب آهنین وجود دارد: یادگیری مبتنی بر مورد и یادگیری قیاسی.

تدريس بر اساس سابقه روشي براي آموزش با استفاده از قوانين رياضي است. ریاضیدانان جداول آمار را جمع آوری می کنند، نتیجه گیری می کنند و نتیجه را در شبکه عصبی بارگذاری می کنند - فرمولی برای محاسبه.

یادگیری قیاسی - یادگیری به طور کامل در نورون (از جمع آوری داده ها تا تجزیه و تحلیل آن) رخ می دهد. در اینجا یک جدول بدون فرمول، اما با آمار تشکیل می شود.

یک مرور کلی از این فناوری به چند ده مقاله دیگر نیاز دارد. در حال حاضر، این برای درک عمومی ما کافی خواهد بود.

نوروپلاستیسیته

در زیست شناسی چنین مفهومی وجود دارد - نوروپلاستیسیته. نوروپلاستیسیتی توانایی نورون ها (سلول های مغز) برای عمل "بر اساس موقعیت" است. مثلاً فردی که بینایی خود را از دست داده است صداها، بوها و اجسام را بهتر می شنود. این به دلیل این واقعیت است که بخشی از مغز (بخشی از نورون ها) که مسئول بینایی است، کار خود را به عملکردهای دیگر توزیع می کند.

نمونه بارز نوروپلاستیسیته در زندگی، آبنبات چوبی BrainPort است.

در سال 2009، دانشگاه ویسکانسین در مدیسون انتشار دستگاه جدیدی را اعلام کرد که ایده های یک "نمایشگر زبان" را توسعه می داد - این BrainPort نام داشت. BrainPort طبق الگوریتم زیر کار می کند: سیگنال ویدیویی از دوربین به پردازنده ارسال می شود که زوم، روشنایی و سایر پارامترهای تصویر را کنترل می کند. همچنین سیگنال های دیجیتال را به تکانه های الکتریکی تبدیل می کند و اساساً عملکرد شبکیه را بر عهده می گیرد.

آبنبات چوبی BrainPort با عینک و دوربین

BrainPort در محل کار

با کامپیوتر هم همینطور. اگر شبکه عصبی تغییری را در فرآیند حس کند، با آن سازگار می شود. این مزیت کلیدی شبکه های عصبی در مقایسه با الگوریتم های دیگر است - استقلال. نوعی انسانیت

تجزیه و تحلیل ترافیک رمزگذاری شده

تجزیه و تحلیل ترافیک رمزگذاری شده بخشی از سیستم Stealthwatch است. Stealthwatch ورود سیسکو به راه حل های نظارت و تجزیه و تحلیل امنیتی است که از داده های تله متری سازمانی از زیرساخت های شبکه موجود استفاده می کند.

Stealthwatch Enterprise مبتنی بر مجوز نرخ جریان، جمع‌آوری جریان، کنسول مدیریت و ابزارهای حسگر جریان است.

رابط ساعت مخفی سیسکو

مشکل رمزگذاری بسیار حاد شد زیرا ترافیک بسیار بیشتری شروع به رمزگذاری کرد. قبلاً فقط کد رمزگذاری شده بود (بیشتر) اما اکنون تمام ترافیک رمزگذاری شده است و جدا کردن داده های "پاک" از ویروس ها بسیار دشوارتر شده است. نمونه بارز WannaCry است که از Tor برای پنهان کردن حضور آنلاین خود استفاده می‌کرد.

تجسم رشد رمزگذاری ترافیک در شبکه

رمزگذاری در اقتصاد کلان

سیستم تجزیه و تحلیل ترافیک رمزگذاری شده (ETA) دقیقاً برای کار با ترافیک رمزگذاری شده بدون رمزگشایی آن ضروری است. مهاجمان باهوش هستند و از الگوریتم‌های رمزگذاری مقاوم در برابر رمزنگاری استفاده می‌کنند و شکستن آن‌ها نه تنها یک مشکل است، بلکه برای سازمان‌ها بسیار پرهزینه است.

سیستم به صورت زیر عمل می کند. مقداری ترافیک به شرکت می آید. در TLS (امنیت لایه حمل و نقل) قرار می گیرد. فرض کنید ترافیک رمزگذاری شده است. ما سعی می کنیم به تعدادی از سوالات در مورد اینکه چه نوع ارتباطی ایجاد شده است پاسخ دهیم.

سیستم تجزیه و تحلیل ترافیک رمزگذاری شده (ETA) چگونه کار می کند

برای پاسخ به این سوالات از یادگیری ماشینی در این سیستم استفاده می کنیم. تحقیقات از سیسکو گرفته شده و بر اساس این مطالعات یک جدول از 2 نتیجه ایجاد شده است - ترافیک مخرب و "خوب". البته، ما به طور قطع نمی دانیم چه نوع ترافیکی مستقیماً در لحظه فعلی وارد سیستم شده است، اما می توانیم با استفاده از داده های سطح جهانی، تاریخچه ترافیک را در داخل و خارج از شرکت ردیابی کنیم. در پایان این مرحله، ما یک جدول بزرگ با داده ها را دریافت می کنیم.

بر اساس نتایج مطالعه، ویژگی های مشخصه مشخص می شود - قوانین خاصی که می توانند به شکل ریاضی نوشته شوند. این قوانین بسته به معیارهای مختلف بسیار متفاوت خواهد بود - اندازه فایل های منتقل شده، نوع اتصال، کشوری که این ترافیک از آن می آید و غیره. در نتیجه کار، میز بزرگ به مجموعه ای از فرمول ها تبدیل شد. تعداد آنها کمتر است، اما این برای کار راحت کافی نیست.

در مرحله بعد، فناوری یادگیری ماشین اعمال می شود - همگرایی فرمول و بر اساس نتیجه همگرایی، یک ماشه دریافت می کنیم - یک سوئیچ، که در آن هنگام خروجی داده ها یک سوئیچ (پرچم) در موقعیت بالا یا پایین می گیریم.

مرحله حاصل به دست آوردن مجموعه ای از محرک ها است که 99٪ از ترافیک را پوشش می دهد.

مراحل بازرسی ترافیک در ایتا

در نتیجه کار، مشکل دیگری حل می شود - حمله از داخل. دیگر نیازی به افرادی در وسط نیست که ترافیک را به صورت دستی فیلتر کنند (در این مرحله خودم را غرق می کنم). اولا، دیگر نیازی به خرج کردن پول زیادی برای یک مدیر سیستم شایسته ندارید (من همچنان به غرق شدن خودم ادامه می دهم). ثانیاً خطر هک از داخل (حداقل تا حدی) وجود ندارد.

مفهوم منسوخ شده Man-in-the-Middle

حالا بیایید بفهمیم که این سیستم بر چه اساس است.

این سیستم بر روی 4 پروتکل ارتباطی کار می کند: TCP/IP – پروتکل انتقال داده اینترنتی، DNS – سرور نام دامنه، TLS – پروتکل امنیتی لایه انتقال، SPLT (تستر لایه فیزیکی SpaceWire) – تستر لایه ارتباط فیزیکی.

پروتکل هایی که با ETA کار می کنند

مقایسه با مقایسه داده ها انجام می شود. با استفاده از پروتکل های TCP/IP، شهرت سایت ها بررسی می شود (سابقه بازدید، هدف از ایجاد سایت و غیره)، به لطف پروتکل DNS، می توانیم آدرس های سایت "بد" را کنار بگذاریم. پروتکل TLS با اثر انگشت یک سایت کار می کند و سایت را در برابر یک تیم واکنش اضطراری رایانه ای (گواهی) تأیید می کند. آخرین مرحله در بررسی اتصال، بررسی در سطح فیزیکی است. جزئیات این مرحله مشخص نشده است، اما نکته به شرح زیر است: بررسی منحنی های سینوسی و کسینوس منحنی های انتقال داده در تاسیسات اسیلوگرافی، i.e. به لطف ساختار درخواست در لایه فیزیکی، هدف اتصال را تعیین می کنیم.

در نتیجه عملکرد سیستم، می توانیم داده هایی را از ترافیک رمزگذاری شده بدست آوریم. با بررسی بسته ها، می توانیم تا حد امکان اطلاعات را از فیلدهای رمزگذاری نشده در خود بسته بخوانیم. با بررسی بسته در لایه فیزیکی، به ویژگی های بسته (به طور جزئی یا کامل) پی می بریم. همچنین شهرت سایت ها را فراموش نکنید. اگر درخواست از منبع .onion آمده است، نباید به آن اعتماد کنید. برای سهولت کار با این نوع داده ها، نقشه ریسک ایجاد شده است.

نتیجه کار ETA

و به نظر می رسد همه چیز خوب است، اما اجازه دهید در مورد استقرار شبکه صحبت کنیم.

اجرای فیزیکی ETA

تعدادی از تفاوت های ظریف و ظریف در اینجا بوجود می آیند. اولا، هنگام ایجاد این نوع
شبکه های با نرم افزار سطح بالا، جمع آوری داده ها مورد نیاز است. داده ها را به صورت دستی به طور کامل جمع آوری کنید
وحشی است، اما پیاده سازی یک سیستم پاسخ در حال حاضر جالب تر است. دوم، داده ها
باید مقدار زیادی وجود داشته باشد، به این معنی که سنسورهای شبکه نصب شده باید کار کنند
نه تنها به صورت خودمختار، بلکه در یک حالت تنظیم دقیق، که تعدادی از مشکلات را ایجاد می کند.

سنسورها و سیستم Stealthwatch

نصب سنسور یک چیز است، اما راه اندازی آن یک کار کاملا متفاوت است. برای پیکربندی حسگرها، مجموعه ای وجود دارد که مطابق توپولوژی زیر عمل می کند - ISR = Cisco Integrated Services Router. ASR = Cisco Aggregation Services Router; CSR = روتر خدمات ابری سیسکو. WLC = Cisco Wireless LAN Controller; IE = سوئیچ اترنت صنعتی سیسکو. ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defense Solution; WSA = Web Security Appliance; ISE = موتور خدمات هویت

نظارت جامع با در نظر گرفتن هرگونه داده تله متری

مدیران شبکه از تعداد کلمات "سیسکو" در پاراگراف قبل شروع به تجربه آریتمی می کنند. قیمت این معجزه کم نیست، اما این چیزی نیست که ما امروز در مورد آن صحبت می کنیم ...

رفتار هکر به صورت زیر مدل سازی می شود. Stealthwatch به دقت بر فعالیت هر دستگاه در شبکه نظارت می کند و قادر است الگویی از رفتار عادی ایجاد کند. علاوه بر این، این راه حل بینش عمیقی در مورد رفتار نامناسب شناخته شده ارائه می دهد. این راه حل تقریباً از 100 الگوریتم تجزیه و تحلیل مختلف یا اکتشافی استفاده می کند که به انواع رفتارهای ترافیکی مانند اسکن، قاب های هشدار میزبان، ورود به سیستم brute-force، ضبط داده مشکوک، نشت مشکوک داده و غیره می پردازد. رویدادهای امنیتی ذکر شده در دسته هشدارهای منطقی سطح بالا قرار می گیرند. برخی از رویدادهای امنیتی نیز می توانند به خودی خود زنگ هشدار را ایجاد کنند. بنابراین، سیستم قادر است چندین رویداد غیرعادی جدا شده را به هم مرتبط کند و آنها را برای تعیین نوع احتمالی حمله و همچنین پیوند آن به یک دستگاه و کاربر خاص در کنار هم قرار دهد (شکل 2). در آینده، این حادثه را می توان در طول زمان و با در نظر گرفتن داده های تله متری مرتبط مطالعه کرد. این در بهترین حالت اطلاعات زمینه ای را تشکیل می دهد. پزشکانی که بیمار را معاینه می کنند تا بفهمند چه مشکلی دارد، علائم را به تنهایی بررسی نمی کنند. آنها برای تشخیص به تصویر بزرگ نگاه می کنند. به همین ترتیب، Stealthwatch هر فعالیت غیرعادی در شبکه را ضبط می کند و آن را به طور کلی بررسی می کند تا آلارم های آگاه از زمینه ارسال کند، در نتیجه به متخصصان امنیتی کمک می کند تا خطرات را در اولویت قرار دهند.

تشخیص ناهنجاری با استفاده از مدل سازی رفتار

استقرار فیزیکی شبکه به شکل زیر است:

گزینه استقرار شبکه شعب (ساده شده)

گزینه استقرار شبکه شعب

شبکه مستقر شده است، اما سوال در مورد نورون همچنان باز است. آنها یک شبکه انتقال داده را سازماندهی کردند، حسگرهایی را روی آستانه نصب کردند و یک سیستم جمع آوری اطلاعات راه اندازی کردند، اما نورون در این موضوع شرکت نکرد. خدا حافظ.

شبکه عصبی چند لایه

این سیستم رفتار کاربر و دستگاه را برای شناسایی عفونت های مخرب، ارتباطات با سرورهای فرمان و کنترل، نشت داده ها و برنامه های بالقوه ناخواسته در حال اجرا در زیرساخت سازمان تجزیه و تحلیل می کند. چندین لایه پردازش داده وجود دارد که در آن ترکیبی از تکنیک‌های هوش مصنوعی، یادگیری ماشین و آمار ریاضی به شبکه کمک می‌کند تا فعالیت عادی خود را بیاموزد تا بتواند فعالیت‌های مخرب را شناسایی کند.

خط لوله تجزیه و تحلیل امنیت شبکه، که داده های تله متری را از تمام بخش های شبکه گسترده، از جمله ترافیک رمزگذاری شده جمع آوری می کند، ویژگی منحصر به فرد Stealthwatch است. به تدریج درک درستی از آنچه "غیر عادی" است، ایجاد می کند، سپس عناصر فردی واقعی "فعالیت تهدید" را طبقه بندی می کند، و در نهایت قضاوت نهایی را در مورد اینکه آیا دستگاه یا کاربر واقعاً به خطر افتاده است یا خیر. توانایی کنار هم قرار دادن قطعات کوچکی که با هم شواهدی را برای تصمیم گیری نهایی در مورد اینکه آیا یک دارایی به خطر افتاده است از طریق تجزیه و تحلیل و همبستگی بسیار دقیق حاصل می شود.

این توانایی مهم است زیرا یک کسب و کار معمولی ممکن است روزانه تعداد زیادی زنگ هشدار دریافت کند و بررسی تک تک آنها غیرممکن است زیرا متخصصان امنیتی منابع محدودی دارند. ماژول یادگیری ماشینی، حجم وسیعی از اطلاعات را در زمان واقعی پردازش می‌کند تا حوادث مهم را با سطح اطمینان بالایی شناسایی کند، و همچنین می‌تواند اقدامات روشنی را برای حل سریع ارائه دهد.

بیایید نگاهی دقیق تر به تکنیک های متعدد یادگیری ماشینی که توسط Stealthwatch استفاده می شود بیندازیم. هنگامی که یک حادثه به موتور یادگیری ماشین Stealthwatch ارسال می شود، از طریق یک قیف تجزیه و تحلیل امنیتی می گذرد که از ترکیبی از تکنیک های یادگیری ماشین نظارت شده و بدون نظارت استفاده می کند.

قابلیت یادگیری ماشین چند سطحی

سطح 1. تشخیص ناهنجاری و مدل سازی اعتماد

در این سطح، 99 درصد از ترافیک با استفاده از آشکارسازهای ناهنجاری آماری کنار گذاشته می شود. این حسگرها با هم مدل‌های پیچیده‌ای از آنچه طبیعی است و آنچه که برعکس غیرطبیعی است را تشکیل می‌دهند. با این حال، غیر طبیعی لزوما مضر نیست. بسیاری از چیزهایی که در شبکه شما اتفاق می‌افتد هیچ ربطی به تهدید ندارند - این فقط عجیب است. طبقه بندی چنین فرآیندهایی بدون توجه به رفتار تهدیدآمیز مهم است. به همین دلیل، نتایج چنین آشکارسازهایی بیشتر مورد تجزیه و تحلیل قرار می گیرد تا رفتار عجیب و غریب قابل توضیح و اعتماد را ثبت کند. در نهایت، تنها بخش کوچکی از مهم‌ترین موضوعات و درخواست‌ها به لایه‌های ۲ و ۳ می‌رسند. بدون استفاده از چنین تکنیک های یادگیری ماشینی، هزینه های عملیاتی جداسازی سیگنال از نویز بسیار زیاد خواهد بود.

تشخیص ناهنجاری اولین گام در تشخیص ناهنجاری از تکنیک های یادگیری ماشین آماری برای جداسازی ترافیک عادی آماری از ترافیک غیرعادی استفاده می کند. بیش از 70 آشکارساز فردی داده‌های تله‌متری را پردازش می‌کنند که Stealthwatch در ترافیکی که از محیط شبکه شما عبور می‌کند، جمع‌آوری می‌کند و ترافیک داخلی سیستم نام دامنه (DNS) را از داده‌های سرور پراکسی، در صورت وجود، جدا می‌کند. هر درخواست توسط بیش از 70 آشکارساز پردازش می شود و هر آشکارساز از الگوریتم آماری خود برای تشکیل ارزیابی ناهنجاری های شناسایی شده استفاده می کند. این امتیازها با هم ترکیب می شوند و از روش های آماری متعددی برای ایجاد یک امتیاز واحد برای هر پرس و جو استفاده می شود. سپس از این امتیاز مجموع برای جداسازی ترافیک عادی و غیرعادی استفاده می شود.

اعتماد مدل سازی در مرحله بعد، درخواست های مشابه گروه بندی می شوند و امتیاز ناهنجاری کل برای چنین گروه هایی به عنوان میانگین بلندمدت تعیین می شود. با گذشت زمان، پرس و جوهای بیشتری برای تعیین میانگین بلندمدت تجزیه و تحلیل می شوند، در نتیجه مثبت کاذب و منفی کاذب کاهش می یابد. نتایج مدل‌سازی اعتماد برای انتخاب زیرمجموعه‌ای از ترافیک استفاده می‌شود که امتیاز ناهنجاری آن از آستانه تعیین شده به صورت پویا برای انتقال به سطح پردازش بعدی فراتر می‌رود.

سطح 2. طبقه بندی رویداد و مدل سازی شی

در این سطح، نتایج به‌دست‌آمده در مراحل قبلی طبقه‌بندی شده و به رویدادهای مخرب خاصی اختصاص داده می‌شود. رویدادها بر اساس مقدار تخصیص داده شده توسط طبقه‌بندی‌کننده‌های یادگیری ماشین طبقه‌بندی می‌شوند تا از نرخ دقت ثابت بالای ۹۰٪ اطمینان حاصل شود. از جمله:

• مدل های خطی بر اساس لم نیمن-پیرسون (قانون توزیع نرمال از نمودار ابتدای مقاله)
• پشتیبانی از ماشین های برداری با استفاده از یادگیری چند متغیره
• شبکه های عصبی و الگوریتم جنگل تصادفی

سپس این رویدادهای امنیتی جدا شده در طول زمان با یک نقطه پایانی منفرد مرتبط می شوند. در این مرحله است که یک توصیف تهدید شکل می گیرد که بر اساس آن تصویر کاملی از چگونگی دستیابی مهاجم مربوطه به نتایج مشخص ایجاد می شود.

طبقه بندی رویدادها زیر مجموعه آماری غیرعادی از سطح قبلی با استفاده از طبقه‌بندی‌کننده به ۱۰۰ دسته یا بیشتر تقسیم می‌شود. بیشتر طبقه‌بندی‌کننده‌ها بر اساس رفتار فردی، روابط گروهی یا رفتار در مقیاس جهانی یا محلی هستند، در حالی که سایر طبقه‌بندی‌کننده‌ها می‌توانند کاملاً خاص باشند. برای مثال، طبقه‌بندی‌کننده می‌تواند ترافیک C&C، یک برنامه افزودنی مشکوک یا یک به‌روزرسانی نرم‌افزار غیرمجاز را نشان دهد. بر اساس نتایج این مرحله، مجموعه ای از رویدادهای نابهنجار در سیستم امنیتی که در دسته بندی های خاصی طبقه بندی می شوند، شکل می گیرد.

مدل سازی شی اگر مقدار شواهدی که این فرضیه مضر بودن یک شی خاص را تأیید می کند از آستانه مادی بیشتر شود، یک تهدید تعیین می شود. رویدادهای مرتبطی که بر تعریف یک تهدید تأثیر گذاشته اند با چنین تهدیدی مرتبط هستند و بخشی از یک مدل گسسته بلندمدت از شی می شوند. همانطور که شواهد در طول زمان انباشته می شوند، سیستم تهدیدات جدید را با رسیدن به آستانه اهمیت شناسایی می کند. این مقدار آستانه پویا است و به طور هوشمند بر اساس سطح خطر تهدید و سایر عوامل تنظیم می شود. پس از این، تهدید در پنل اطلاعات رابط وب ظاهر می شود و به سطح بعدی منتقل می شود.

سطح 3. مدل سازی رابطه

هدف از مدل‌سازی رابطه، ترکیب نتایج به‌دست‌آمده در سطوح قبلی از دیدگاه جهانی، با در نظر گرفتن نه تنها زمینه محلی، بلکه همچنین زمینه جهانی حادثه مربوطه است. در این مرحله است که می توانید تعیین کنید که چند سازمان با چنین حمله ای مواجه شده اند تا بفهمید که آیا این حمله به طور خاص شما را هدف قرار داده است یا بخشی از یک کمپین جهانی است و شما به تازگی گرفتار شده اید.

حوادث تایید یا کشف می شوند. یک رویداد تأیید شده به معنای اطمینان 99 تا 100 درصد است زیرا تکنیک ها و ابزارهای مرتبط قبلاً در مقیاس بزرگتر (جهانی) مشاهده شده اند. حوادث شناسایی شده برای شما منحصر به فرد است و بخشی از یک کمپین بسیار هدفمند را تشکیل می دهد. یافته های گذشته با یک اقدام شناخته شده به اشتراک گذاشته می شود و در پاسخ به آن در زمان و منابع شما صرفه جویی می شود. آنها با ابزارهای تحقیقی همراه هستند که برای درک اینکه چه کسی به شما حمله کرده است و اینکه کمپین تا چه حد کسب و کار دیجیتال شما را هدف قرار داده است، ارائه می شوند. همانطور که می توانید تصور کنید، تعداد حوادث تایید شده بسیار بیشتر از تعداد موارد شناسایی شده است، به این دلیل ساده که حوادث تایید شده هزینه زیادی برای مهاجمان ندارد، در حالی که حوادث شناسایی شده شامل می شود.
گران هستند زیرا باید جدید و سفارشی باشند. با ایجاد توانایی شناسایی حوادث تایید شده، اقتصاد بازی در نهایت به نفع مدافعان تغییر کرده است و به آنها یک مزیت متمایز می دهد.

آموزش چند سطحی یک سیستم اتصال عصبی مبتنی بر ETA

نقشه جهانی ریسک

نقشه جهانی ریسک از طریق تجزیه و تحلیل اعمال شده توسط الگوریتم های یادگیری ماشین در یکی از بزرگترین مجموعه داده ها در نوع خود در صنعت ایجاد می شود. این آمار رفتاری گسترده ای را در مورد سرورهای اینترنت ارائه می دهد، حتی اگر آنها ناشناخته باشند. چنین سرورهایی با حملات مرتبط هستند و ممکن است در آینده درگیر یا به عنوان بخشی از یک حمله مورد استفاده قرار گیرند. این یک "لیست سیاه" نیست، بلکه یک تصویر جامع از سرور مورد نظر از نقطه نظر امنیتی است. این اطلاعات زمینه‌ای در مورد فعالیت این سرورها به آشکارسازها و طبقه‌بندی‌کننده‌های یادگیری ماشین Stealthwatch اجازه می‌دهد تا سطح خطر مرتبط با ارتباطات با چنین سرورهایی را به دقت پیش‌بینی کنند.

می توانید کارت های موجود را مشاهده کنید اینجا.

نقشه جهانی که 460 میلیون آدرس IP را نشان می دهد

اکنون شبکه یاد می گیرد و برای محافظت از شبکه شما می ایستد.

بالاخره نوشدارویی پیدا شد؟

متاسفانه، هیچ. از تجربه کار با سیستم می توانم بگویم 2 مشکل جهانی وجود دارد.

مشکل 1. قیمت. کل شبکه بر روی یک سیستم سیسکو مستقر شده است. این هم خوب است هم بد. جنبه خوب این است که شما مجبور نیستید زحمت بکشید و دسته ای از دوشاخه ها مانند D-Link، MikroTik و غیره را نصب کنید. نکته منفی هزینه هنگفت سیستم است. با توجه به وضعیت اقتصادی تجارت روسیه، در حال حاضر فقط یک صاحب ثروتمند یک شرکت یا بانک بزرگ می تواند این معجزه را از عهده بگیرد.

مسئله 2: آموزش. من در مقاله دوره آموزش شبکه عصبی را ننوشتم، اما نه به این دلیل که وجود ندارد، بلکه به این دلیل که همیشه در حال یادگیری است و نمی توانیم پیش بینی کنیم که چه زمانی یاد می گیرد. البته ابزارهای آمار ریاضی وجود دارد (همان فرمول معیار همگرایی پیرسون را بگیرید) اما اینها نیم اندازه هستند. ما احتمال فیلتر کردن ترافیک را دریافت می کنیم، و حتی در آن صورت تنها با شرطی که حمله قبلاً تسلط یافته و شناخته شده باشد.

با وجود این 2 مشکل، ما جهشی بزرگ در توسعه امنیت اطلاعات به طور کلی و حفاظت از شبکه به طور خاص داشته ایم. این واقعیت می‌تواند انگیزه‌ای برای مطالعه فناوری‌های شبکه و شبکه‌های عصبی باشد که در حال حاضر مسیری بسیار امیدوارکننده هستند.

منبع: www.habr.com