A forgalom dekódolás nélküli elemzésére szolgáló rendszer. Ezt a módszert egyszerűen „gépi tanulásnak” nevezik. Kiderült, hogy ha egy speciális osztályozó bemenetére nagyon nagy mennyiségű különféle forgalom kerül, akkor a rendszer nagyon nagy valószínűséggel képes észlelni a rosszindulatú kódok akcióit a titkosított forgalomban.
Az online fenyegetések megváltoztak és okosabbak lettek. Az utóbbi időben a támadás és a védekezés fogalma megváltozott. Jelentősen megnőtt az események száma a hálózaton. A támadások kifinomultabbak lettek, és a hackerek szélesebb körűek.
A Cisco statisztikái szerint az elmúlt év során a támadók megháromszorozták a tevékenységükhöz használt rosszindulatú programok számát, pontosabban a titkosítást ezek elrejtésére. Az elméletből ismert, hogy a „helyes” titkosítási algoritmust nem lehet feltörni. Ahhoz, hogy megértsük, mi rejtőzik a titkosított forgalomban, vagy a kulcs ismeretében kell visszafejteni, vagy különféle trükkökkel, vagy közvetlen hackeléssel, vagy a kriptográfiai protokollok valamilyen sérülékenységével kell visszafejteni.
Egy kép korunk hálózati fenyegetéseiről
Gépi tanulás
Ismerje meg személyesen a technológiát! Mielőtt a gépi tanuláson alapuló visszafejtési technológia működéséről beszélnénk, meg kell értenünk, hogyan működik a neurális hálózati technológia.
A gépi tanulás a mesterséges intelligencia egy széles alszaka, amely tanulásra képes algoritmusok felépítésének módszereit tanulmányozza. Ez a tudomány matematikai modellek létrehozására irányul a számítógép „képzésére”. A tanulás célja, hogy megjósoljon valamit. Az emberi megértésben ezt a folyamatot szónak nevezzük "bölcsesség". A bölcsesség azokban az emberekben nyilvánul meg, akik elég régóta élnek (egy 2 éves gyerek nem lehet bölcs). Amikor a vezető elvtársakhoz fordulunk tanácsért, tájékoztatást adunk az eseménnyel kapcsolatban (bemeneti adatok), illetve segítséget kérünk. Ők viszont emlékeznek minden olyan élethelyzetre, amely valamilyen módon kapcsolódik az Ön problémájához (tudásbázis), és ezen ismeretek (adatok) alapján egyfajta előrejelzést (tanácsot) adnak nekünk. Ezt a fajta tanácsot kezdték jóslásnak nevezni, mert a tanácsot adó személy nem tudja biztosan, mi fog történni, csak feltételezi. Az élettapasztalat azt mutatja, hogy az embernek lehet igaza, de lehet, hogy téved.
Ne hasonlítsa össze a neurális hálózatokat az elágazó algoritmussal (if-else). Ezek különböző dolgok, és vannak alapvető különbségek. Az elágazó algoritmusnak világos „megértése” van arról, hogy mit kell tenni. Példákkal mutatom be.
Feladat. Határozza meg egy autó fékútját a márka és a gyártási év alapján.
Példa az elágazási algoritmusra. Ha egy autó 1-es márkájú és 2012-ben adták ki, akkor a féktávolsága 10 méter, egyébként, ha az autó 2-es márkájú és 2011-ben adták ki, és így tovább.
Példa egy neurális hálózatra. Adatokat gyűjtünk az autók féktávolságáról az elmúlt 20 év során. Gyártmányonként és évenként táblázatot állítunk össze „gyártási év – féktávolság” formában. Ezt a táblázatot kiadjuk a neurális hálózatnak, és elkezdjük tanítani. A képzést a következőképpen hajtjuk végre: adatokat táplálunk a neurális hálózatba, de fékút nélkül. A neuron a beletöltött táblázat alapján megpróbálja megjósolni, hogy mekkora lesz a fékút. Megjósol valamit, és megkérdezi a felhasználót: „Igaz vagyok?” A kérdés előtt létrehoz egy negyedik oszlopot, a találgatások oszlopát. Ha igaza van, akkor a negyedik oszlopba 1-et ír, ha téved, akkor 0-t. A neurális hálózat továbblép a következő eseményre (még ha hibázott is). Így tanul a hálózat és a képzés befejeztével (egy bizonyos konvergenciakritérium elérése) adatokat küldünk be a minket érdeklő autóról és végül választ kapunk.
A konvergenciakritériumra vonatkozó kérdés eltávolítása érdekében elmagyarázom, hogy ez egy matematikailag levezetett statisztikai képlet. Két különböző konvergenciaképlet szembetűnő példája. Piros – bináris konvergencia, kék – normál konvergencia.
Binomiális és normál valószínűségi eloszlások
Hogy világosabb legyen, tedd fel a kérdést: „Mekkora a valószínűsége annak, hogy találkozunk egy dinoszaurusszal?” Itt 2 lehetséges válasz van. 1. lehetőség – nagyon kicsi (kék grafikon). 2. lehetőség – megbeszélés vagy nem (piros grafikon).
Természetesen a számítógép nem ember, és másképp tanul. Kétféle vasló edzés létezik: esetalapú tanulás и deduktív tanulás.
A precedens alapján történő tanítás a matematikai törvények felhasználásával történő tanítás. A matematikusok statisztikai táblázatokat gyűjtenek, következtetéseket vonnak le, és az eredményt betöltik a neurális hálózatba - egy számítási képlet.
Deduktív tanulás – a tanulás teljes egészében a neuronban történik (az adatgyűjtéstől az elemzéséig). Itt egy táblázat képlet nélkül, de statisztikákkal készül.
A technológia átfogó áttekintése további néhány tucat cikket igényelne. Egyelőre ez elég lesz általános megértésünkhöz.
Neuroplaszticitás
A biológiában van egy ilyen fogalom - a neuroplaszticitás. A neuroplaszticitás az idegsejtek (agysejtek) azon képessége, hogy „a helyzetnek megfelelően” működjenek. Például egy személy, aki elvesztette látását, jobban hallja a hangokat, szagolja és érzékeli a tárgyakat. Ez annak a ténynek köszönhető, hogy az agynak a látásért felelős része (a neuronok egy része) átosztja munkáját más funkciókra.
A neuroplaszticitás szembetűnő példája az életben a BrainPort nyalóka.
2009-ben a Madison-i Wisconsin Egyetem bejelentette egy új eszköz kiadását, amely a „nyelvi kijelző” ötleteit fejlesztette ki – BrainPort néven. A BrainPort a következő algoritmus szerint működik: a videojelet a kamera továbbítja a processzornak, amely vezérli a zoomot, a fényerőt és egyéb képparamétereket. Ezenkívül a digitális jeleket elektromos impulzusokká alakítja át, lényegében átveszi a retina funkcióit.
BrainPort nyalóka szemüveggel és fényképezőgéppel
BrainPort munka közben
Ugyanez a számítógéppel. Ha a neurális hálózat változást érzékel a folyamatban, alkalmazkodik ahhoz. Ez a neurális hálózatok fő előnye más algoritmusokhoz képest – az autonómia. Egyfajta emberség.
Titkosított forgalomelemzés
A titkosított forgalomelemzés a Stealthwatch rendszer része. A Stealthwatch a Cisco belépése a biztonsági megfigyelési és elemzési megoldásokba, amelyek a meglévő hálózati infrastruktúrából származó vállalati telemetriai adatokat hasznosítják.
A Stealthwatch Enterprise a Flow Rate License, Flow Collector, Management Console és Flow Sensor eszközökön alapul.
Cisco Stealthwatch interfész
A titkosítással kapcsolatos probléma nagyon akuttá vált, mivel sokkal több forgalmat kezdtek titkosítani. Korábban (többnyire) csak a kódot titkosították, de most már az összes forgalom titkosított, és a „tiszta” adatok elkülönítése a vírusoktól sokkal nehezebbé vált. Egy szembetűnő példa a WannaCry, amely a Tor segítségével rejtette el online jelenlétét.
A hálózati forgalom titkosításának növekedésének megjelenítése
Titkosítás a makroökonómiában
Az Encrypted Traffic Analytics (ETA) rendszerre pontosan azért van szükség, hogy titkosított forgalommal dolgozhassunk, annak visszafejtése nélkül. A támadók okosak és kriptorezisztens titkosítási algoritmusokat használnak, ezek feltörése nem csak probléma, de rendkívül költséges is a szervezetek számára.
A rendszer a következőképpen működik. Némi forgalom érkezik a céghez. A TLS-be (szállítási réteg biztonság) tartozik. Tegyük fel, hogy a forgalom titkosított. Számos olyan kérdésre próbálunk választ adni, hogy milyen kapcsolat jött létre.
Hogyan működik az Encrypted Traffic Analytics (ETA) rendszer
E kérdések megválaszolásához gépi tanulást használunk ebben a rendszerben. A Cisco kutatása során e tanulmányok alapján egy táblázatot készítenek 2 eredményből - rosszindulatú és „jó” forgalomból. Azt persze nem tudjuk biztosan, hogy az adott pillanatban milyen forgalom lépett be közvetlenül a rendszerbe, de a világszínvonal adatai alapján nyomon követhetjük a cégen belüli és kívüli forgalom történetét. Ennek a szakasznak a végén egy hatalmas táblázatot kapunk adatokkal.
A vizsgálat eredményei alapján jellemző tulajdonságokat azonosítanak - bizonyos szabályokat, amelyek matematikai formában leírhatók. Ezek a szabályok nagymértékben változhatnak a különböző kritériumoktól függően – az átvitt fájlok mérete, a kapcsolat típusa, az ország, ahonnan ez a forgalom érkezik stb. A munka eredményeként a hatalmas asztal képletek halmazává változott. Kevesebb van belőlük, de ez nem elég a kényelmes munkához.
Ezt követően gépi tanulási technológiát alkalmaznak - képletkonvergencia és a konvergencia eredménye alapján kapunk egy triggert - egy kapcsolót, ahol az adatok kimenetekor kapunk egy kapcsolót (zászlót) felemelt vagy süllyesztett helyzetben.
Az eredményül kapott lépés a forgalom 99%-át lefedő triggerkészlet beszerzése.
Közlekedési ellenőrzés lépései az ETA-ban
A munka eredményeként egy másik probléma is megoldódik - belülről jövő támadás. Nincs többé szükség arra, hogy a középen lévő emberek manuálisan szűrjék a forgalmat (ezen a ponton megfulladok). Először is, többé nem kell sok pénzt költenie egy illetékes rendszergazdára (továbbra is megfulladok). Másodszor, nem áll fenn a belső feltörés veszélye (legalábbis részben).
Elavult Man-in-the-Middle koncepció
Most pedig nézzük meg, mire épül a rendszer.
A rendszer 4 kommunikációs protokollon működik: TCP/IP – Internet adatátviteli protokoll, DNS – domain név szerver, TLS – szállítási réteg biztonsági protokoll, SPLT (SpaceWire Physical Layer Tester) – fizikai kommunikációs réteg tesztelő.
Az ETA-val együttműködő protokollok
Az összehasonlítás az adatok összehasonlításával történik. A TCP/IP protokollok segítségével ellenőrzik az oldalak hírnevét (látogatási előzmények, az oldal létrehozásának célja stb.), a DNS protokollnak köszönhetően el tudjuk dobni a „rossz” oldalcímeket. A TLS-protokoll a webhely ujjlenyomatával működik, és ellenőrzi a webhelyet egy számítógépes vészhelyzeti reagálási csapattal (tanúsítvánnyal) szemben. A kapcsolat ellenőrzésének utolsó lépése a fizikai szintű ellenőrzés. Ennek a szakasznak a részletei nincsenek megadva, de a lényeg a következő: adatátviteli görbék szinuszos és koszinuszos görbéinek ellenőrzése oszcillográfiai telepítéseken, i.e. A kérés fizikai rétegbeli felépítésének köszönhetően meghatározzuk a kapcsolat célját.
A rendszer működésének eredményeként titkosított forgalomból nyerhetünk adatokat. A csomagok vizsgálatával a lehető legtöbb információt olvashatjuk ki magának a csomagnak a titkosítatlan mezőiből. A csomag fizikai rétegbeli vizsgálatával megtudjuk a csomag jellemzőit (részben vagy teljesen). Ne feledkezzünk meg a webhelyek hírnevéről sem. Ha a kérés valamilyen .onion forrásból érkezett, abban nem szabad megbízni. Az ilyen típusú adatokkal való munka megkönnyítése érdekében kockázati térképet készítettek.
Az ETA munkájának eredménye
És úgy tűnik, hogy minden rendben van, de beszéljünk a hálózati telepítésről.
Az ETA fizikai megvalósítása
Számos árnyalat és finomság merül fel itt. Először is, amikor létrehozza ezt a fajta
hálózatok magas szintű szoftverrel, adatgyűjtés szükséges. Gyűjtse össze az adatokat teljesen manuálisan
vad, de válaszrendszer megvalósítása már érdekesebb. Másodszor az adatok
sok legyen, ami azt jelenti, hogy a telepített hálózati érzékelőknek működniük kell
nemcsak önállóan, hanem finoman hangolt módban is, ami számos nehézséget okoz.
Érzékelők és Stealthwatch rendszer
A szenzor beszerelése egy dolog, de annak beállítása teljesen más feladat. Az érzékelők konfigurálásához van egy komplex, amely a következő topológia szerint működik: ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = Cisco Cloud Services Router; WLC = Cisco vezeték nélküli LAN-vezérlő; IE = Cisco Industrial Ethernet Switch; ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defense Solution; WSA = Web Security Appliance; ISE = Identity Services Engine
Átfogó felügyelet minden telemetriai adat figyelembevételével
A hálózati rendszergazdák az előző bekezdésben szereplő „Cisco” szavak számától kezdik el az aritmiát tapasztalni. Ennek a csodának nem kicsi az ára, de ma nem erről beszélünk...
A hacker viselkedését a következőképpen modellezzük. A Stealthwatch gondosan figyeli a hálózaton lévő összes eszköz tevékenységét, és képes normális viselkedési mintát létrehozni. Ezenkívül ez a megoldás mély betekintést nyújt az ismert nem megfelelő viselkedésbe. A megoldás körülbelül 100 különböző elemzési algoritmust vagy heurisztikát használ, amelyek különböző típusú forgalmi viselkedéseket kezelnek, mint például a szkennelés, a gazdagép riasztási keretei, a brute-force bejelentkezés, a feltételezett adatrögzítés, a feltételezett adatszivárgás stb. A felsorolt biztonsági események a magas szintű logikai riasztások kategóriájába tartoznak. Egyes biztonsági események önmagukban is riasztást válthatnak ki. Így a rendszer képes több izolált rendellenes incidens korrelációjára, és ezek összeállítására, hogy meghatározza a támadás lehetséges típusát, valamint összekapcsolja azt egy adott eszközzel és felhasználóval (2. ábra). A jövőben az incidenst idővel és a kapcsolódó telemetriai adatok figyelembevételével lehet tanulmányozni. Ez a legjobb kontextuális információ. Azok az orvosok, akik megvizsgálják a beteget, hogy megértsék, mi a baj, nem elszigetelten vizsgálják a tüneteket. A diagnózis felállításához az átfogó képet nézik. Hasonlóképpen, a Stealthwatch rögzíti a hálózat minden rendellenes tevékenységét, és holisztikusan megvizsgálja, hogy környezettudatos riasztásokat küldjön, ezáltal segítve a biztonsági szakembereket a kockázatok rangsorolásában.
Anomáliák észlelése viselkedésmodellezéssel
A hálózat fizikai telepítése így néz ki:
Elágazóhálózati telepítési lehetőség (egyszerűsített)
Elágazóhálózati telepítési lehetőség
A hálózatot telepítették, de a neuronnal kapcsolatos kérdés nyitott marad. Adatátviteli hálózatot szerveztek, szenzorokat telepítettek a küszöbökre, információgyűjtő rendszert indítottak, de a neuron nem vett részt az ügyben. Viszlát.
Többrétegű neurális hálózat
A rendszer elemzi a felhasználók és az eszközök viselkedését a rosszindulatú fertőzések, a parancs- és vezérlőkiszolgálókkal való kommunikáció, az adatszivárgások és a szervezet infrastruktúrájában futó potenciálisan nem kívánt alkalmazások észlelése érdekében. Az adatfeldolgozásnak több rétege van, ahol a mesterséges intelligencia, a gépi tanulás és a matematikai statisztikai technikák kombinációja segíti a hálózatot, hogy önállóan tanulja meg normál tevékenységét, így képes észlelni a rosszindulatú tevékenységeket.
A Stealthwatch egyedülálló funkciója a hálózatbiztonsági elemzési folyamat, amely a kiterjesztett hálózat minden részéből gyűjti a telemetriai adatokat, beleértve a titkosított forgalmat is. Fokozatosan fejleszti annak megértését, hogy mi a „rendellenes”, majd kategorizálja a „fenyegető tevékenység” tényleges egyes elemeit, és végül végső ítéletet hoz arról, hogy az eszközt vagy a felhasználót valóban feltörték-e. Az a képesség, hogy apró darabokat összerakjanak, amelyek együtt képezik a bizonyítékot ahhoz, hogy végső döntést hozhassanak arról, hogy egy eszköz veszélybe került-e, nagyon alapos elemzésen és korreláción keresztül érhető el.
Ez a képesség azért fontos, mert egy tipikus vállalkozás naponta rengeteg riasztást kaphat, és lehetetlen mindegyiket kivizsgálni, mert a biztonsági szakemberek korlátozott erőforrásokkal rendelkeznek. A gépi tanulási modul hatalmas mennyiségű információt dolgoz fel közel valós időben, hogy nagy biztonsággal azonosítsa a kritikus eseményeket, és egyértelmű cselekvési irányokat is képes biztosítani a gyors megoldás érdekében.
Nézzük meg közelebbről a Stealthwatch által használt számos gépi tanulási technikát. Amikor egy incidenst benyújtanak a Stealthwatch gépi tanulási motorjának, az egy biztonsági elemzési tölcséren megy keresztül, amely felügyelt és felügyelt gépi tanulási technikák kombinációját használja.
Többszintű gépi tanulási lehetőségek
1. szint. Anomáliák észlelése és megbízhatósági modellezés
Ezen a szinten a forgalom 99%-át eldobják statisztikai anomália-érzékelők segítségével. Ezek az érzékelők együtt összetett modelleket alkotnak arról, hogy mi a normális, és mi a kóros. A kóros azonban nem feltétlenül káros. Sok mindennek, ami a hálózatán történik, semmi köze a fenyegetéshez – ez egyszerűen furcsa. Fontos, hogy az ilyen folyamatokat a fenyegető magatartástól függetlenül osztályozzuk. Emiatt az ilyen detektorok eredményeit tovább elemzik annak érdekében, hogy megragadják a furcsa viselkedést, amely megmagyarázható és megbízható. Végül a legfontosabb szálaknak és kéréseknek csak egy kis része jut el a 2. és 3. rétegbe. Az ilyen gépi tanulási technikák alkalmazása nélkül a jel és a zaj elválasztásának működési költségei túl magasak lennének.
Anomália észlelése. Az anomália-észlelés első lépése statisztikai gépi tanulási technikákat használ a statisztikailag normál forgalom és a rendellenes forgalom elkülönítésére. Több mint 70 egyedi érzékelő dolgozza fel azokat a telemetriai adatokat, amelyeket a Stealthwatch a hálózaton áthaladó forgalomról gyűjt, elválasztva a belső tartománynévrendszer (DNS) forgalmat a proxyszerver adataitól, ha vannak ilyenek. Minden kérést több mint 70 detektor dolgoz fel, és mindegyik detektor saját statisztikai algoritmusát használja az észlelt anomáliák értékeléséhez. Ezeket a pontszámokat kombinálják, és több statisztikai módszert alkalmaznak, hogy minden egyes lekérdezéshez egyetlen pontszámot kapjanak. Ezt az összesített pontszámot használják fel a normál és a rendellenes forgalom elkülönítésére.
A bizalom modellezése. Ezután a hasonló kéréseket csoportosítják, és az ilyen csoportok összesített anomália pontszámát hosszú távú átlagként határozzák meg. Idővel több lekérdezést elemeznek a hosszú távú átlag meghatározásához, ezáltal csökkentve a hamis pozitív és hamis negatív számokat. A megbízhatósági modellezés eredményei a forgalom azon részhalmazának kiválasztására szolgálnak, amelynek anomáliás pontszáma meghaladja a dinamikusan meghatározott küszöbértéket, és így a következő feldolgozási szintre lép.
2. szint. Eseményosztályozás és objektummodellezés
Ezen a szinten az előző szakaszokban kapott eredményeket osztályozzák és meghatározott rosszindulatú eseményekhez rendelik. Az események besorolása a gépi tanulási osztályozók által hozzárendelt érték alapján történik, így biztosítva a 90% feletti állandó pontosságot. Közöttük:
- lineáris modellek a Neyman-Pearson lemmán (a cikk elején található gráfból a normális eloszlás törvénye) alapuló lineáris modellek
- többváltozós tanulást használó vektorgépek támogatása
- neurális hálózatok és a véletlen erdő algoritmus.
Ezeket az elszigetelt biztonsági eseményeket ezután egyetlen végponthoz társítják az idő múlásával. Ebben a szakaszban jön létre a fenyegetés leírása, amely alapján teljes kép alakul ki arról, hogy az érintett támadónak hogyan sikerült bizonyos eredményeket elérnie.
Az események osztályozása. Az előző szint statisztikailag anomális részhalmazát osztályozók segítségével 100 vagy több kategóriába sorolják. A legtöbb osztályozó az egyéni viselkedésen, a csoportkapcsolatokon vagy a globális vagy lokális léptékű viselkedésen alapul, míg mások meglehetősen specifikusak lehetnek. Például az osztályozó jelezhet C&C forgalmat, gyanús bővítményt vagy jogosulatlan szoftverfrissítést. Ennek a szakasznak az eredményei alapján kialakul a biztonsági rendszer rendellenes eseményeinek halmaza, bizonyos kategóriákba sorolva.
Objektummodellezés. Ha az adott tárgy károsságának hipotézisét alátámasztó bizonyítékok mennyisége meghaladja a lényegességi küszöböt, a fenyegetés megállapítására kerül sor. A fenyegetés meghatározását befolyásoló releváns események egy ilyen fenyegetéshez kapcsolódnak, és az objektum diszkrét hosszú távú modelljének részévé válnak. Ahogy a bizonyítékok idővel gyűlnek, a rendszer új fenyegetéseket azonosít, amikor eléri a lényegességi küszöböt. Ez a küszöbérték dinamikus, és intelligensen igazodik a fenyegetés kockázati szintje és egyéb tényezők alapján. Ezt követően a fenyegetés megjelenik a webes felület információs paneljén, és átkerül a következő szintre.
3. szint. Kapcsolati modellezés
A kapcsolatmodellezés célja, hogy a korábbi szinteken kapott eredményeket globális perspektívából szintetizálja, figyelembe véve a releváns incidens nemcsak lokális, hanem globális kontextusát is. Ebben a szakaszban meghatározhatja, hogy hány szervezet találkozott ilyen támadással, hogy megértse, hogy az kifejezetten Önt célozta, vagy egy globális kampány része-e, és Ön éppen elkapott.
Az incidenseket megerősítik vagy felfedezik. Az ellenőrzött incidens 99-100%-os megbízhatóságot jelent, mivel a kapcsolódó technikákat és eszközöket korábban nagyobb (globális) léptékben figyelték meg. Az észlelt incidensek egyediek az Ön számára, és egy erősen célzott kampány részét képezik. A múltbeli leletek egy ismert cselekvési móddal vannak megosztva, így időt és erőforrásokat takaríthat meg a válaszadás során. Tartalmazzák azokat a nyomozati eszközöket, amelyekre szüksége van annak megértéséhez, hogy ki támadta meg Önt, és milyen mértékben célozta meg a kampány az Ön digitális vállalkozását. Elképzelhető, hogy a megerősített incidensek száma jóval meghaladja az észleltek számát azon egyszerű okból, hogy a megerősített incidensek nem járnak sok költséggel a támadók számára, míg az észlelt incidensek igen.
drágák, mert újnak és testreszabottnak kell lenniük. A megerősített incidensek azonosításának képességének megteremtésével a játék gazdaságossága végül a védők javára tolódott el, ami egyértelmű előnyhöz juttatta őket.
Neurális kapcsolatrendszer többszintű oktatása ETA alapján
Globális kockázati térkép
A globális kockázati térképet a gépi tanulási algoritmusok által az iparág egyik legnagyobb ilyen típusú adatkészletére alkalmazott elemzéssel hozzák létre. Kiterjedt viselkedési statisztikákkal szolgál az internetes szerverekről, még akkor is, ha azok ismeretlenek. Az ilyen szerverek támadásokhoz kapcsolódnak, és a jövőben részt vehetnek egy támadásban, vagy támadás részeként használhatók. Ez nem egy „feketelista”, hanem egy átfogó kép a szóban forgó szerverről biztonsági szempontból. A kiszolgálók tevékenységére vonatkozó környezeti információ lehetővé teszi a Stealthwatch gépi tanulási érzékelőinek és osztályozóinak, hogy pontosan előre jelezzék az ilyen szerverekkel folytatott kommunikációhoz kapcsolódó kockázati szintet.
Megtekintheti az elérhető kártyákat .
A világtérkép 460 millió IP-címet mutat
Most a hálózat tanul, és feláll a hálózat védelmére.
Végül csodaszert találtak?
Sajnos, nincs. A rendszerrel végzett munka tapasztalatai alapján elmondhatom, hogy 2 globális probléma van.
Probléma 1. Ár. A teljes hálózat Cisco rendszeren van telepítve. Ez jó és rossz is. A jó oldala az, hogy nem kell vesződnie és beszerelnie egy csomó csatlakozót, mint a D-Link, MikroTik stb. Hátránya a rendszer hatalmas költsége. Figyelembe véve az orosz üzleti élet gazdasági helyzetét, jelenleg csak egy nagy cég vagy bank gazdag tulajdonosa engedheti meg magának ezt a csodát.
2. probléma: Képzés. A cikkben nem a neurális háló képzési időszakát írtam, de nem azért, mert nem létezik, hanem mert folyamatosan tanul, és nem tudjuk megjósolni, hogy mikor fog tanulni. Természetesen vannak matematikai statisztika eszközei (vegyük a Pearson-féle konvergenciakritérium ugyanazt a megfogalmazását), de ezek csak félmértékek. A forgalom szűrésének valószínűségét megkapjuk, és akkor is csak azzal a feltétellel, hogy a támadást már elsajátították és ismerték.
E 2 probléma ellenére nagyot ugrottunk általában az információbiztonság és különösen a hálózatvédelem fejlesztésében. Ez a tény motiváló lehet a ma már igen ígéretes iránynak számító hálózati technológiák és neurális hálózatok tanulmányozására.
Forrás: will.com