In systeem foar it analysearjen fan ferkear sûnder it te ûntsiferjen. Dizze metoade wurdt gewoan "masine learen" neamd. It die bliken dat as in hiel grut folume fan ferskate ferkear wurdt fieden oan de ynfier fan in spesjale klassifikaasje, it systeem kin detect de aksjes fan kweade koade binnen fersifere ferkear mei in hege graad fan kâns.
Online bedrigingen binne feroare en slimmer wurden. Koartlyn is it heule konsept fan oanfal en ferdigening feroare. It oantal eveneminten op it netwurk is signifikant tanommen. Oanfallen binne ferfine wurden en hackers hawwe in breder berik.
Neffens Cisco-statistiken hawwe oanfallers it ôfrûne jier it oantal malware dat se brûke foar har aktiviteiten fertrijefâldige, of leaver, fersifering om se te ferbergjen. It is bekend út teory dat it "korrekte" fersiferingsalgoritme kin net brutsen wurde. Om te begripen wat der yn it fersifere ferkear ferburgen is, is it nedich om it te ûntsiferjen mei it witten fan de kaai, of besykje it te ûntsiferjen mei ferskate trúkjes, of direkt hacking, of mei in soarte fan kwetsberens yn kryptografyske protokollen.
In byld fan 'e netwurkbedrigingen fan ús tiid
Masine learen
Kennis de technology persoanlik! Foardat jo prate oer hoe't de masine-learen-basearre ûntsiferingstechnology sels wurket, is it nedich om te begripen hoe't neurale netwurktechnology wurket.
Machine Learning is in brede subseksje fan keunstmjittige yntelliginsje dy't metoaden studearret foar it bouwen fan algoritmen dy't leare kinne. Dizze wittenskip is rjochte op it meitsjen fan wiskundige modellen foar "training" fan in kompjûter. It doel fan learen is om wat te foarsizzen. Yn minsklik begryp neame wy dit proses it wurd "wysheid". Wysheid manifestearret him yn minsken dy't hawwe libbe foar in hiel lange tiid (in 2-jier-âlde bern kin net wêze wiis). By it wikseljen fan senior kameraden foar advys, jouwe wy se wat ynformaasje oer it evenemint (ynputgegevens) en freegje se om help. Se ûnthâlde op har beurt alle libbenssituaasjes dy't op ien of oare manier relatearre binne oan jo probleem (kennisbasis) en jouwe ús, basearre op dizze kennis (gegevens), in soarte fan foarsizzing (advys). Dit soarte advys begon foarsizzing te wurde neamd, om't de persoan dy't it advys jout net wis wit wat der barre sil, mar allinich oannimt. Libbensûnderfining lit sjen dat in persoan gelyk kin hawwe, of hy kin ferkeard wêze.
Jo moatte neurale netwurken net fergelykje mei it branching-algoritme (as-else). Dit binne ferskillende dingen en d'r binne wichtige ferskillen. It branching-algoritme hat in dúdlik "begryp" fan wat te dwaan. Ik sil demonstrearje mei foarbylden.
Taak. Bepale de remôfstân fan in auto basearre op syn merk en jier fan produksje.
In foarbyld fan it branching-algoritme. As in auto is merk 1 en waard útbrocht yn 2012, syn rem ôfstân is 10 meter, oars, as de auto is merk 2 en waard útbrocht yn 2011, ensafuorthinne.
In foarbyld fan in neural netwurk. Wy sammelje gegevens oer autoremôfstannen oer de ôfrûne 20 jier. Per merk en jier meitsje wy in tabel gear mei de foarm "makke-jier fan fabryk-remôfstân". Wy jouwe dizze tabel oan it neuronale netwurk en begjinne it te learen. Trening wurdt útfierd as folget: wy feed gegevens nei it neuronale netwurk, mar sûnder rempaad. De neuron besiket te foarsizzen wat de remôfstân sil wêze basearre op 'e tabel dy't deryn laden is. Foarseit wat en freget de brûker "Hast ik gelyk?" Foar de fraach makket se in fjirde kolom, de riedkolom. As se gelyk hat, dan skriuwt se 1 yn 'e fjirde kolom, as se ferkeard is, skriuwt se 0. It neurale netwurk giet troch nei it folgjende barren (sels as it in flater makke hat). Dit is hoe't it netwurk leart en as de training foltôge is (in bepaald konverginsjekriterium is berikt), leverje wy gegevens oer de auto wêryn wy ynteressearre binne en krije úteinlik in antwurd.
Om de fraach oer it konverginsjekriterium te ferwiderjen, sil ik útlizze dat dit in wiskundich ôflaat formule foar statistyk is. In opfallend foarbyld fan twa ferskillende konverginsje formules. Red - binêre konverginsje, blau - normale konverginsje.
Binomiale en normale kânsferdielingen
Om it dúdliker te meitsjen, freegje de fraach "Wat is de kâns om in dinosaurus te moetsjen?" D'r binne hjir 2 antwurden mooglik. Opsje 1 - heul lyts (blauwe grafyk). Opsje 2 - in gearkomste of net (reade grafyk).
Fansels is in kompjûter gjin persoan en hy leart oars. D'r binne 2 soarten izeren hyndertraining: case-basearre learen и deduktyf learen.
Underwizen op basis fan presedint is in manier om te learen mei wiskundige wetten. Wiskundigen sammelje statistyktabellen, lûke konklúzjes en laden it resultaat yn it neuronale netwurk - in formule foar berekkening.
Deduktyf learen - learen komt folslein foar yn 'e neuron (fan gegevenssammeling oant syn analyze). Hjir wurdt in tabel foarme sûnder in formule, mar mei statistiken.
In breed oersjoch fan 'e technology soe noch in pear tsientallen artikels duorje. Foar no sil dit genôch wêze foar ús algemiene begryp.
Neuroplastyk
Yn biology is der sa'n konsept - neuroplasticity. Neuroplastyk is it fermogen fan neuroanen (harsensellen) om te hanneljen "neffens de situaasje." Bygelyks, in persoan dy't syn sicht ferlern hat, heart lûden, rûkt en fernimt objekten better. Dit bart troch it feit dat it diel fan 'e harsens (diel fan' e neuroanen) ferantwurdlik foar fyzje syn wurk ferdield nei oare funksjonaliteit.
In opfallend foarbyld fan neuroplasticity yn it libben is de BrainPort lollipop.
Yn 2009 kundige de Universiteit fan Wisconsin yn Madison de frijlitting oan fan in nij apparaat dat de ideeën fan in "taaldisplay" ûntwikkele - it waard BrainPort neamd. BrainPort wurket neffens it folgjende algoritme: it fideosinjaal wurdt stjoerd fan 'e kamera nei de prosessor, dy't de zoom, helderheid en oare ôfbyldingsparameters kontrolearret. It konvertearret ek digitale sinjalen yn elektryske ympulsen, dy't yn essinsje de funksjes fan 'e retina oernimme.
BrainPort lollipop mei bril en kamera
BrainPort oan it wurk
Itselde mei in kompjûter. As it neuronale netwurk in feroaring yn it proses fynt, past it him oan. Dit is it wichtichste foardiel fan neurale netwurken yn ferliking mei oare algoritmen - autonomy. In soarte fan minsklikheid.
Fersifere ferkear Analytics
Fersifere Traffic Analytics is ûnderdiel fan it Stealthwatch-systeem. Stealthwatch is Cisco's yngong yn oplossings foar befeiligingsmonitoring en analytyk dy't gebrûk makket fan telemetrygegevens fan bedriuwen fan besteande netwurkynfrastruktuer.
Stealthwatch Enterprise is basearre op de Flow Rate License, Flow Collector, Management Console en Flow Sensor ark.
Cisco Stealthwatch Ynterface
It probleem mei fersifering waard heul akuut troch it feit dat folle mear ferkear begon te fersiferjen. Earder wie allinich de koade fersifere (meast), mar no is alle ferkear fersifere en it skieden fan "skjinne" gegevens fan firussen is folle dreger wurden. In opfallend foarbyld is WannaCry, dy't Tor brûkte om syn online oanwêzigens te ferbergjen.
Fisualisaasje fan 'e groei yn ferkearsfersifering op it netwurk
Fersifering yn makroekonomy
It Encrypted Traffic Analytics (ETA) systeem is krekt nedich om te wurkjen mei fersifere ferkear sûnder it te ûntsiferjen. Oanfallers binne tûk en brûke krypto-resistinte fersiferingsalgoritmen, en se brekke is net allinich in probleem, mar ek ekstreem djoer foar organisaasjes.
It systeem wurket as folget. Wat ferkear komt nei it bedriuw. It falt yn TLS (ferfier laach feiligens). Litte wy sizze dat it ferkear fersifere is. Wy besykje in oantal fragen te beantwurdzjen oer hokker soarte ferbining makke is.
Hoe't it fersifere ferkearsanalysesysteem (ETA) wurket
Om dizze fragen te beantwurdzjen brûke wy masine learen yn dit systeem. Undersyk fan Cisco wurdt nommen en basearre op dizze stúdzjes wurdt in tabel makke fan 2 resultaten - kwea-aardich en "goed" ferkear. Fansels, wy witte net wis hokker soarte fan ferkear ynfierd it systeem direkt op it hjoeddeiske momint yn 'e tiid, mar wy kinne trace de skiednis fan ferkear sawol binnen as bûten it bedriuw mei help fan gegevens út it wrâldpoadium. Oan 'e ein fan dit poadium krije wy in enoarme tabel mei gegevens.
Op grûn fan de resultaten fan 'e stúdzje wurde karakteristike skaaimerken identifisearre - bepaalde regels dy't kinne wurde opskreaun yn wiskundige foarm. Dizze regels sille sterk ferskille ôfhinklik fan ferskate kritearia - de grutte fan 'e oerdroegen bestannen, it type ferbining, it lân wêrfan dit ferkear komt, ensfh. As gefolch fan it wurk feroare de enoarme tafel yn in set fan heapen formules. Der binne minder fan harren, mar dit is net genôch foar noflik wurk.
Folgjende wurdt masine-leartechnology tapast - formulekonverginsje en basearre op it resultaat fan konverginsje krije wy in trigger - in skeakel, wêrby't as de gegevens útfiere wy in skeakel (flagge) krije yn 'e ferhege of ferlege posysje.
De resultearjende poadium is it krijen fan in set triggers dy't 99% fan it ferkear bedekke.
Ferkear ynspeksje stappen yn ETA
As gefolch fan it wurk wurdt in oar probleem oplost - in oanfal fan binnen. D'r is net langer in ferlet fan minsken yn 'e midden dy't ferkear manuell filterje (ik ferdrinke mysels op dit stuit). As earste hoege jo net mear in soad jild te besteegjen oan in foechhawwende systeembehearder (ik bliuw mysels ferdrinke). Twadder is d'r gjin gefaar foar hacking fan binnen (op syn minst foar in part).
Ferâldere Man-in-the-Middle Concept
No litte wy útfine wêrop it systeem is basearre.
It systeem wurket op 4 kommunikaasje protokollen: TCP / IP - Ynternet data oerdracht protokol, DNS - domein namme tsjinner, TLS - ferfier laach feiligens protokol, SPLT (SpaceWire Physical Layer Tester) - fysike kommunikaasje laach tester.
Protokollen wurkje mei ETA
Fergeliking wurdt makke troch it fergelykjen fan gegevens. Mei TCP/IP-protokollen wurdt de reputaasje fan siden kontrolearre (histoarje besite, doel fan it meitsjen fan de side, ensfh.), Mei tank oan it DNS-protokol kinne wy "minne" side-adressen ferwiderje. It TLS-protokol wurket mei de fingerprint fan in side en ferifiearret de side tsjin it team foar needreaksje fan 'e kompjûter (cert). De lêste stap yn it kontrolearjen fan de ferbining is kontrolearjen op it fysike nivo. De details fan dit poadium binne net oantsjutte, mar it punt is as folget: kontrolearjen fan de sinus en cosinus curves fan gegevens oerdracht curves op oscillography ynstallaasjes, d.w.s. Mei tank oan de struktuer fan it fersyk by de fysike laach, wy bepale it doel fan de ferbining.
As gefolch fan 'e operaasje fan it systeem kinne wy gegevens krije fan fersifere ferkear. Troch it ûndersykjen fan pakketten kinne wy safolle mooglik ynformaasje lêze fan 'e net-fersifere fjilden yn it pakket sels. Troch it pakket op 'e fysike laach te ynspektearjen, fine wy de skaaimerken fan it pakket (foar in part of folslein). Ferjit ek net oer de reputaasje fan 'e siden. As it fersyk kaam út guon .onion boarne, Jo moatte net fertrouwe it. Om it wurkjen mei dit soarte fan gegevens makliker te meitsjen is in risikokaart makke.
Resultaat fan it wurk fan ETA
En alles liket goed te wêzen, mar litte wy prate oer netwurk ynset.
Fysike ymplemintaasje fan ETA
In oantal nuânses en subtilens ûntsteane hjir. As earste, by it meitsjen fan dit soarte fan
netwurken mei software op hege nivo, gegevenssammeling is fereaske. Sammelje gegevens folslein mei de hân
wyld, mar it útfieren fan in antwurd systeem is al nijsgjirriger. Twad, de gegevens
der moat in protte wêze, wat betsjut dat de ynstalleare netwurksensors wurkje moatte
net allinnich autonoom, mar ek yn in fyn ôfstimd modus, dat soarget foar in oantal swierrichheden.
Sensoren en Stealthwatch systeem
It ynstallearjen fan in sensor is ien ding, mar it ynstellen is in folslein oare taak. Foar in configure sensors, der is in kompleks dat wurket neffens de folgjende topology - ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = Cisco Cloud Services Router; WLC = Cisco Wireless LAN Controller; IE = Cisco Industrial Ethernet Switch; ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defense Solution; WSA = Web Security Appliance; ISE = Identity Services Engine
Wiidweidige tafersjoch mei rekken hâldend mei alle telemetryske gegevens
Netwurkbehearders begjinne arrhythmia te belibjen fan it oantal wurden "Cisco" yn 'e foarige paragraaf. De priis fan dit wûnder is net lyts, mar dat is net wêr't wy hjoed oer prate ...
It gedrach fan 'e hacker sil as folget wurde modeleare. Stealthwatch kontrolearret soarchfâldich de aktiviteit fan elk apparaat op it netwurk en is by steat om in patroan fan normaal gedrach te meitsjen. Derneist jout dizze oplossing djip ynsjoch yn bekend ûnfatsoenlik gedrach. De oplossing brûkt sawat 100 ferskillende analysealgoritmen as heuristyk dy't ferskate soarten ferkearsgedrach oanpakke, lykas skennen, hostalarmframes, brute-force logins, fertochte gegevensopfang, fertochte gegevenslekkage, ensfh. De neamde feiligenseveneminten falle ûnder de kategory logyske alaarms op heech nivo. Guon befeiligingseveneminten kinne ek sels in alarm trigger. Sa is it systeem yn steat om meardere isolearre anomale ynsidinten te korrelearjen en se byinoar te setten om it mooglike type oanfal te bepalen, en ek te keppeljen oan in spesifyk apparaat en brûker (figuer 2). Yn 'e takomst kin it ynsidint yn' e rin fan 'e tiid studearre wurde en mei rekkening mei de byhearrende telemetrygegevens. Dit foarmet kontekstuele ynformaasje op syn bêst. Dokters dy't in pasjint ûndersykje om te begripen wat der mis is, sjogge de symptomen net yn isolemint. Se sjogge nei it grutte byld om in diagnoaze te meitsjen. Likemin fangt Stealthwatch elke abnormale aktiviteit op it netwurk en ûndersiket it holistysk om kontekstbewuste alaarms te stjoeren, en helpt dêrmei feiligensprofessionals om risiko's te prioritearjen.
Anomaly-deteksje mei gedrachsmodellering
De fysike ynset fan it netwurk sjocht der sa út:
Opsje foar ynset fan filiaalnetwurk (ferfâldige)
Branch netwurk ynset opsje
It netwurk is ynset, mar de fraach oer it neuron bliuwt iepen. Se organisearre in datatransmission netwurk, ynstallearre sensoren op 'e drompels en lansearre in ynformaasje sammeljen systeem, mar de neuron die net mei oan de saak. Doei.
Multilayer neural netwurk
It systeem analysearret brûkers- en apparaatgedrach om kweade ynfeksjes te detektearjen, kommunikaasje mei kommando- en kontrôleservers, gegevenslekken en mooglik net-winske applikaasjes dy't rinne yn 'e ynfrastruktuer fan' e organisaasje. D'r binne meardere lagen fan gegevensferwurking wêrby't in kombinaasje fan keunstmjittige yntelliginsje, masine learen, en wiskundige statistyktechniken it netwurk helpe om har normale aktiviteit sels te learen, sadat it kweade aktiviteit kin ûntdekke.
De pipeline foar analyse fan netwurkfeiligens, dy't telemetrygegevens sammelet fan alle dielen fan it útwreide netwurk, ynklusyf fersifere ferkear, is in unyk skaaimerk fan Stealthwatch. It ûntwikkelet stadichoan in begryp fan wat "anomaal" is, dan kategorisearret de eigentlike yndividuele eleminten fan "bedrigingsaktiviteit," en makket úteinlik in definityf oardiel oer oft it apparaat of brûker eins is kompromittearre. De mooglikheid om lytse stikken byinoar te meitsjen dy't tegearre it bewiis foarmje om in definityf beslút te meitsjen oer de fraach oft in asset kompromittearre is, komt troch heul soarchfâldige analyze en korrelaasje.
Dizze mooglikheid is wichtich om't in typysk bedriuw elke dei in enoarm oantal alaarms kin ûntfange, en it is ûnmooglik om elk ien te ûndersiikjen, om't befeiligingsprofessionals beheinde boarnen hawwe. De masine-learmodule ferwurket grutte hoemannichten ynformaasje yn hast realtime om krityske ynsidinten te identifisearjen mei in heech nivo fan fertrouwen, en is ek by steat om dúdlike kursussen fan aksje te leverjen foar rappe oplossing.
Litte wy in tichterby besjen op 'e ferskate masine-learentechniken brûkt troch Stealthwatch. As in ynsidint wurdt yntsjinne by de masine-learmotor fan Stealthwatch, giet it troch in befeiligingsanalyze-trechter dy't in kombinaasje brûkt fan begeliede en sûnder tafersjoch techniken foar learen fan masines.
Mear-nivo masine learen mooglikheden
Nivo 1. Anomaly-deteksje en fertrouwensmodellering
Op dit nivo wurdt 99% fan it ferkear ferwidere mei statistyske anomalydetektors. Dizze sensors foarmje tegearre komplekse modellen fan wat normaal is en wat, krekt oarsom, abnormaal is. It abnormale is lykwols net needsaaklik skealik. In protte fan wat bart op jo netwurk hat neat te krijen mei de bedriging - it is gewoan nuver. It is wichtich om sokke prosessen te klassifisearjen sûnder rekken te hâlden mei driigjend gedrach. Om dizze reden wurde de resultaten fan sokke detektors fierder analysearre om frjemd gedrach te fangen dat ferklearre en fertroud wurde kin. Uteinlik makket mar in lyts fraksje fan 'e wichtichste triedden en oanfragen it nei lagen 2 en 3. Sûnder it gebrûk fan sokke masine-learentechniken soene de operasjonele kosten fan it skieden fan it sinjaal fan it lûd te heech wêze.
Anomaly deteksje. De earste stap yn anomaly-deteksje brûkt statistyske masine-learentechniken om statistysk normaal ferkear te skieden fan anomaly ferkear. Mear dan 70 yndividuele detektors ferwurkje de telemetrygegevens dy't Stealthwatch sammelet op ferkear dat troch jo netwurkperimeter giet, en skiedt ynterne Domain Name System (DNS) ferkear fan proxyservergegevens, as der binne. Elk fersyk wurdt ferwurke troch mear dan 70 detectors, wêrby't elke detektor syn eigen statistyske algoritme brûkt om in beoardieling te foarmjen fan 'e ûntdutsen anomalies. Dizze skoares wurde kombineare en meardere statistyske metoaden wurde brûkt om ien skoare foar elke yndividuele query te meitsjen. Dizze aggregearre skoare wurdt dan brûkt om normaal en abnormal ferkear te skieden.
Modeling fertrouwen. Folgjende wurde ferlykbere oanfragen groepearre, en de aggregearre anomaly-skoare foar sokke groepen wurdt bepaald as in gemiddelde op lange termyn. Yn 'e rin fan' e tiid wurde mear fragen analysearre om it gemiddelde op 'e lange termyn te bepalen, wêrtroch't falske positiven en falske negativen ferminderje. De resultaten fan fertrouwensmodellearjen wurde brûkt om in subset fan ferkear te selektearjen wêrfan de anomaly-score in oantal dynamysk bepaalde drompel grutter is om nei it folgjende ferwurkingsnivo te gean.
Nivo 2. Event klassifikaasje en objektmodellering
Op dit nivo wurde de resultaten krigen yn 'e foarige stadia klassifisearre en tawiisd oan spesifike kweade barrens. Eveneminten wurde klassifisearre op basis fan 'e wearde tawiisd troch klassifisearrings foar masine-learen om in konsekwint krektensrate boppe 90% te garandearjen. Under harren:
- lineêre modellen basearre op it Neyman-Pearson-lemma (de wet fan normale ferdieling fan 'e grafyk oan it begjin fan it artikel)
- stypje vector masines mei help fan multivariate learen
- neurale netwurken en it willekeurige boskalgoritme.
Dizze isolearre befeiligingseveneminten wurde dan yn 'e rin fan' e tiid ferbûn mei ien einpunt. It is op dit stadium dat in bedriging beskriuwing wurdt foarme, basearre op hokker in folslein byld wurdt makke fan hoe't de oanbelangjende oanfaller slagge om te berikken bepaalde resultaten.
Klassifikaasje fan eveneminten. De statistysk abnormale subset fan it foarige nivo wurdt ferdield yn 100 of mear kategoryen mei klassifikaasjes. De measte klassifikaasjes binne basearre op yndividueel gedrach, groepsrelaasjes, of gedrach op in globale of lokale skaal, wylst oaren frij spesifyk kinne wêze. De klassifikaasje kin bygelyks C&C-ferkear oanjaan, in fertochte útwreiding, of in net autorisearre software-update. Op grûn fan de resultaten fan dit poadium wurdt in set fan abnormale eveneminten yn it feiligenssysteem, yndield yn bepaalde kategoryen, foarme.
Objektmodellering. As it bedrach fan bewiis dat de hypoteze stipet dat in bepaald objekt skealik is, de materialiteitsdrompel grutter is, wurdt in bedriging bepaald. Relevante eveneminten dy't de definysje fan in bedriging beynfloede, wurde ferbûn mei sa'n bedriging en wurde diel fan in diskrete lange-termyn model fan it objekt. As bewiis sammelet oer de tiid, identifisearret it systeem nije bedrigingen as de materialiteitsdrompel wurdt berikt. Dizze drompelwearde is dynamysk en wurdt yntelligint oanpast op basis fan it nivo fan bedrigingsrisiko en oare faktoaren. Hjirnei ferskynt de bedriging op it ynformaasjepaniel fan 'e webynterface en wurdt oerbrocht nei it folgjende nivo.
Nivo 3. Relaasje Modeling
It doel fan relaasjemodellering is om de resultaten dy't op eardere nivo's krigen binne út in wrâldwide perspektyf te synthesisearjen, mei net allinich de lokale, mar ek de globale kontekst fan it relevante ynsidint rekken hâldend. It is op dit stadium dat jo kinne bepale hoefolle organisaasjes hawwe tsjinkaam sa'n oanfal om te begripen oft it wie spesifyk rjochte op jo of is diel fan in wrâldwide kampanje, en jo binne krekt fongen.
Ynsidinten wurde befêstige of ûntdutsen. In ferifiearre ynsidint ymplisearret 99 oant 100% fertrouwen, om't de byhearrende techniken en ark earder yn aksje op in gruttere (globale) skaal waarnommen binne. Ynsidinten ûntdutsen binne unyk foar jo en meitsje diel út fan in tige doelgerichte kampanje. Ferline befinings wurde dield mei in bekende kursus fan aksje, wat jo tiid en boarnen besparje as antwurd. Se komme mei de ûndersyksynstruminten dy't jo nedich binne om te begripen wa't jo oanfallen hat en yn hoefier't de kampanje jo digitale bedriuw rjochte. Lykas jo jo kinne foarstelle, is it oantal befêstige ynsidinten fier boppe it oantal ûntdutsen foar de ienfâldige reden dat befêstige ynsidinten net folle kosten omfetsje foar oanfallers, wylst ûntdutsen ynsidinten dogge.
djoer omdat se nij en oanpast wurde moatte. Troch it kreëarjen fan de mooglikheid om befêstige ynsidinten te identifisearjen, is de ekonomy fan it spultsje einlings feroare yn it foardiel fan ferdigeners, wêrtroch't se in dúdlik foardiel jaan.
Multi-level training fan in neural ferbining systeem basearre op ETA
Global risiko kaart
De wrâldwide risikokaart wurdt makke troch analyse tapast troch algoritmen foar masine-learen op ien fan 'e grutste datasets fan har soarte yn' e sektor. It leveret wiidweidige gedrachsstatistiken oangeande servers op it ynternet, sels as se ûnbekend binne. Sokke tsjinners binne ferbûn mei oanfallen en kinne yn 'e takomst belutsen wurde of brûkt wurde as ûnderdiel fan in oanfal. Dit is gjin "swarte list", mar in wiidweidich byld fan de tsjinner yn kwestje út in feiligens eachpunt. Dizze kontekstuele ynformaasje oer de aktiviteit fan dizze servers lit Stealthwatch's masine-learendetektors en klassifisearders it nivo fan risiko's ferbûn mei kommunikaasje mei sokke servers sekuer foarsizze.
Jo kinne beskikbere kaarten besjen .
Wrâldkaart mei 460 miljoen IP-adressen
No leart it netwurk en stiet op om jo netwurk te beskermjen.
Uteinlik is in panacee fûn?
Helaas, gjin. Ut ûnderfining wurkje mei it systeem, Ik kin sizze dat der 2 globale problemen.
Probleem 1. Priis. It hiele netwurk wurdt ynset op in Cisco systeem. Dit is sawol goed as min. De goede kant is dat jo net hoege te lestich falle en ynstallearje in bosk plugs lykas D-Link, MikroTik, etc. It neidiel is de enoarme kosten fan it systeem. Sjoen de ekonomyske steat fan it Russyske bedriuw, op it stuit kin allinich in rike eigner fan in grut bedriuw of bank dit wûnder betelje.
Probleem 2: Training. Ik haw net yn it artikel de opliedingsperioade foar it neuronale netwurk skreaun, mar net om't it net bestiet, mar om't it de hiele tiid leart en wy kinne net foarsizze wannear't it leart. Fansels binne d'r ark fan wiskundige statistiken (nim deselde formulearring fan it Pearson-konverginsjekriterium), mar dit binne heale maatregels. Wy krije de kâns om ferkear te filterjen, en sels dan allinich ûnder de betingst dat de oanfal al behearske en bekend is.
Nettsjinsteande dizze 2-problemen hawwe wy in grutte sprong makke yn 'e ûntwikkeling fan ynformaasjefeiligens yn' t algemien en netwurkbeskerming yn it bysûnder. Dit feit kin motivearjend wêze foar de stúdzje fan netwurktechnologyen en neurale netwurken, dy't no in heul promovende rjochting binne.
Boarne: www.habr.com