Трафикті шифрынсыз талдауға арналған жүйе. Бұл әдіс жай ғана «машиналық оқыту» деп аталады. Арнайы классификатордың кірісіне әртүрлі трафиктің өте үлкен көлемі берілсе, жүйе шифрланған трафик ішіндегі зиянды код әрекеттерін өте жоғары ықтималдықпен анықтай алатыны белгілі болды.
Желідегі қауіптер өзгерді және ақылды болды. Жақында шабуыл мен қорғаныс ұғымының өзі өзгерді. Желідегі оқиғалар саны айтарлықтай өсті. Шабуылдар күрделірек болды және хакерлерге кеңірек қол жетімділік пайда болды.
Cisco статистикасына сәйкес, соңғы бір жылда шабуылдаушылар өз әрекеттері үшін пайдаланатын зиянды бағдарламалардың санын, дәлірек айтқанда, оларды жасыру үшін шифрлауды үш есеге арттырды. Теориядан «дұрыс» шифрлау алгоритмін бұзуға болмайтыны белгілі. Шифрланған трафиктің ішінде не жасырылғанын түсіну үшін не кілтті біле тұра оның шифрын ашу керек, не оны әртүрлі трюктар арқылы шешуге тырысу керек, немесе тікелей бұзу немесе криптографиялық протоколдардағы осалдықтардың қандай да бір түрін пайдалану керек.
Біздің замандағы желілік қауіптердің суреті
Машинамен оқыту
Технологияны жеке біліңіз! Машиналық оқытуға негізделген шифрды шешу технологиясының өзі қалай жұмыс істейтіні туралы айтпас бұрын, нейрондық желі технологиясы қалай жұмыс істейтінін түсіну керек.
Machine Learning - бұл үйренуге болатын алгоритмдерді құру әдістерін зерттейтін жасанды интеллекттің кең бөлімі. Бұл ғылым компьютерді «үйретудің» математикалық үлгілерін жасауға бағытталған. Оқу мақсаты – бір нәрсені болжау. Адам түсінігінде бұл процесті сөз деп атаймыз «даналық». Даналық ұзақ уақыт өмір сүрген адамдарда көрінеді (2 жасар бала дана бола алмайды). Аға жолдастарға кеңес алу үшін жүгінген кезде біз оларға оқиға туралы кейбір мәліметтерді (енгізілген деректер) береміз және олардан көмек сұраймыз. Олар, өз кезегінде, сіздің мәселеңізге (білім базасы) қандай да бір түрде қатысты өмірдегі барлық жағдайларды есте сақтайды және осы білімге (деректерге) сүйене отырып, бізге қандай да бір болжам (кеңес) береді. Кеңестің бұл түрі болжау деп атала бастады, өйткені кеңес беруші адам не болатынын нақты білмейді, тек болжайды. Өмір тәжірибесі көрсеткендей, адамның дұрыс болуы да, қате болуы да мүмкін.
Нейрондық желілерді тармақталу алгоритмімен (if-else) салыстыруға болмайды. Бұл әртүрлі нәрселер және негізгі айырмашылықтар бар. Тармақталған алгоритмде не істеу керектігін нақты «түсіну» бар. Мен мысалдармен көрсетемін.
Тапсырма. Автокөліктің тежеу қашықтығын оның маркасы мен шығарылған жылына қарай анықтаңыз.
Тармақталу алгоритмінің мысалы. Егер автомобиль 1 маркалы болса және 2012 жылы шығарылған болса, оның тежеу қашықтығы 10 метрді құрайды, әйтпесе автомобиль 2 маркалы болса және 2011 жылы шығарылған болса және т.б.
Нейрондық желінің мысалы. Біз соңғы 20 жылдағы автокөліктердің тежеу қашықтығы туралы деректерді жинаймыз. Шығарылған жылы және жылы бойынша біз «өндірілген жыл-тежеу қашықтығы» пішінінің кестесін құрастырамыз. Біз бұл кестені нейрондық желіге шығарып, оны үйретуді бастаймыз. Жаттығу келесідей жүзеге асырылады: біз деректерді нейрондық желіге береміз, бірақ тежеу жолы жоқ. Нейрон оған жүктелген кестеге негізделген тежеу қашықтығы қандай болатынын болжауға тырысады. Бірдеңені болжап, пайдаланушыдан «Мен дұрыс айтамын ба?» деп сұрайды. Сұрақ алдында ол төртінші бағанды, болжау бағанасын жасайды. Егер ол дұрыс болса, төртінші бағанға 1 жазады, қате болса 0 жазады. Нейрондық желі келесі оқиғаға көшеді (қате болса да). Желі осылайша үйренеді және оқыту аяқталған кезде (белгілі бір конвергенция критерийіне қол жеткізілді) біз өзімізді қызықтыратын көлік туралы деректерді жібереміз және соңында жауап аламыз.
Конвергенция критерийі туралы сұрақты алып тастау үшін мен бұл статистиканың математикалық жолмен алынған формуласы екенін түсіндіремін. Екі түрлі конвергенция формулаларының жарқын мысалы. Қызыл – екілік жинақтылық, көк – қалыпты конвергенция.
Биномдық және қалыпты ықтималдық үлестірімдері
Түсінікті болу үшін «Динозаврды кездестіру ықтималдығы қандай?» Деген сұрақты қойыңыз. Мұнда 2 ықтимал жауап бар. 1-нұсқа – өте кішкентай (көк график). 2-нұсқа – кездесу немесе кездесу емес (қызыл график).
Әрине, компьютер адам емес және ол басқаша үйренеді. Темір тұлпарды үйретудің 2 түрі бар: жағдайға негізделген оқыту и дедуктивті оқыту.
Прецедент бойынша оқыту – математикалық заңдарды қолдана отырып оқыту тәсілі. Математиктер статистикалық кестелерді жинайды, қорытынды жасайды және нәтижені нейрондық желіге жүктейді - есептеу формуласы.
Дедуктивті оқыту – оқыту толығымен нейронда жүреді (мәліметтерді жинаудан оны талдауға дейін). Мұнда кесте формуласыз, бірақ статистикамен құрылады.
Технологияға кең шолу тағы бірнеше ондаған мақалаларды қажет етеді. Әзірге бұл біздің жалпы түсінігіміз үшін жеткілікті болады.
Нейропластикалық
Биологияда мұндай ұғым бар - нейропластикалық. Нейропластикалық - нейрондардың (ми жасушаларының) «жағдайға сәйкес» әрекет ету қабілеті. Мысалы, көру қабілетінен айырылған адам дыбыстарды жақсы естиді, иістерді және заттарды жақсы сезінеді. Бұл мидың көру үшін жауап беретін бөлігі (нейрондардың бөлігі) өз жұмысын басқа функционалдылыққа қайта бөлуіне байланысты пайда болады.
Өмірдегі нейропластиканың жарқын мысалы - BrainPort лолипопы.
2009 жылы Мэдисондағы Висконсин университеті «тілдік дисплей» идеяларын әзірлейтін жаңа құрылғының шығарылғанын жариялады - ол BrainPort деп аталды. BrainPort келесі алгоритм бойынша жұмыс істейді: бейне сигнал камерадан масштабтауды, жарықтылықты және басқа сурет параметрлерін басқаратын процессорға жіберіледі. Ол сонымен қатар сандық сигналдарды электрлік импульстарға түрлендіреді, негізінен тордың функцияларын алады.
Көзілдірік пен камерасы бар BrainPort лолипопы
BrainPort жұмыс орнында
Компьютермен бірдей. Нейрондық желі процестегі өзгерісті сезсе, оған бейімделеді. Бұл басқа алгоритмдермен салыстырғанда нейрондық желілердің басты артықшылығы – автономия. Адамгершіліктің бір түрі.
Шифрланған трафик аналитикасы
Шифрланған трафик аналитикасы Stealthwatch жүйесінің бөлігі болып табылады. Stealthwatch — Cisco компаниясының қолданыстағы желілік инфрақұрылымнан кәсіпорын телеметрия деректерін пайдаланатын қауіпсіздік мониторингі мен аналитикалық шешімдеріне кіруі.
Stealthwatch Enterprise ағын жылдамдығы лицензиясы, ағын жинағыш, басқару консолі және ағын сенсоры құралдарына негізделген.
Cisco Stealthwatch интерфейсі
Көбірек трафик шифрлана бастағанына байланысты шифрлау мәселесі өте өткір болды. Бұрын тек код шифрланған (негізінен), бірақ қазір барлық трафик шифрланған және «таза» деректерді вирустардан бөлу әлдеқайда қиын болды. Жарқын мысал - WannaCry, ол желідегі қатысуын жасыру үшін Tor пайдаланды.
Желідегі трафикті шифрлаудың өсуін визуализациялау
Макроэкономикадағы шифрлау
Encrypted Traffic Analytics (ETA) жүйесі шифрланған трафикпен шифрды шешпей жұмыс істеу үшін қажет. Шабуылшылар ақылды және криптоға төзімді шифрлау алгоритмдерін пайдаланады және оларды бұзу тек проблема емес, сонымен қатар ұйымдар үшін өте қымбат.
Жүйе келесідей жұмыс істейді. Кейбір трафик компанияға келеді. Ол TLS (транспорттық деңгей қауіпсіздігі) санатына жатады. Трафик шифрланған делік. Біз қандай байланыс болғаны туралы бірқатар сұрақтарға жауап беруге тырысамыз.
Шифрланған трафикті талдау (ETA) жүйесі қалай жұмыс істейді
Бұл сұрақтарға жауап беру үшін біз осы жүйеде машиналық оқытуды қолданамыз. Cisco-дан зерттеулер алынды және осы зерттеулер негізінде 2 нәтижеден кесте жасалады - зиянды және «жақсы» трафик. Әрине, біз қазіргі уақытта жүйеге тікелей қандай трафиктің кіргенін нақты білмейміз, бірақ әлемдік аренадағы деректерді пайдалана отырып, біз компанияның ішіндегі және сыртындағы трафик тарихын бақылай аламыз. Осы кезеңнің соңында біз деректері бар үлкен кестені аламыз.
Зерттеу нәтижелері бойынша сипаттамалық белгілер анықталады - математикалық түрде жазуға болатын белгілі бір ережелер. Бұл ережелер әртүрлі критерийлерге - тасымалданатын файлдардың өлшеміне, қосылым түріне, осы трафик келетін елге және т.б. байланысты айтарлықтай өзгереді. Жұмыстың нәтижесінде үлкен үстел формулалар жиынтығына айналды. Олардың саны аз, бірақ бұл ыңғайлы жұмыс үшін жеткіліксіз.
Әрі қарай, машиналық оқыту технологиясы қолданылады – конвергенция формуласы және конвергенция нәтижесі негізінде триггер – коммутатор аламыз, мұнда деректер шығарылған кезде көтерілген немесе түсірілген күйде ауыстырғыш (жалауша) аламыз.
Алынған кезең трафиктің 99%-ын қамтыған триггерлер жиынтығын алу болып табылады.
ETA-дағы жол қозғалысын тексеру қадамдары
Жұмыстың нәтижесінде тағы бір мәселе шешіледі - іштен жасалған шабуыл. Трафикті қолмен сүзгілеудің ортадағы адамдардың қажеті жоқ (осы кезде мен өзімді суға батып жатырмын). Біріншіден, сауатты жүйелік әкімшіге көп ақша жұмсаудың қажеті жоқ (мен өзімді суға батып кете беремін). Екіншіден, ішкі жағынан (кем дегенде ішінара) бұзу қаупі жоқ.
Ескірген «Ортадағы адам» концепциясы
Енді жүйе неге негізделгенін анықтайық.
Жүйе 4 байланыс хаттамалары бойынша жұмыс істейді: TCP/IP – Интернет деректерін жіберу протоколы, DNS – домендік атаулар сервері, TLS – транспорттық деңгейдің қауіпсіздік протоколы, SPLT (SpaceWire Physical Layer Tester) – физикалық байланыс деңгейінің сынақ құралы.
ETA-мен жұмыс істейтін хаттамалар
Салыстыру мәліметтерді салыстыру арқылы жүргізіледі. TCP/IP хаттамаларын қолдану арқылы сайттардың репутациясы тексеріледі (кіру тарихы, сайтты құру мақсаты және т. TLS протоколы сайттың саусақ ізімен жұмыс істейді және сайтты компьютердің төтенше жағдайға жауап беру тобына қарсы тексереді (сертификат). Қосылымды тексерудің соңғы қадамы физикалық деңгейде тексеру болып табылады. Бұл кезеңнің егжей-тегжейлері көрсетілмеген, бірақ мәні келесідей: осциллографиялық қондырғылардағы деректерді беру қисықтарының синусы мен косинус қисықтарын тексеру, т.б. Физикалық деңгейде сұраныс құрылымының арқасында біз қосылу мақсатын анықтаймыз.
Жүйе жұмысының нәтижесінде шифрланған трафиктен мәліметтер ала аламыз. Пакеттерді зерттей отырып, біз пакеттің өзінде шифрланбаған өрістерден мүмкіндігінше көп ақпаратты оқи аламыз. Физикалық деңгейде пакетті тексеру арқылы біз пакеттің сипаттамаларын (жартылай немесе толық) анықтаймыз. Сондай-ақ, сайттардың беделі туралы ұмытпаңыз. Егер сұрау кейбір .onion көзінен келсе, оған сенбеу керек. Мұндай деректермен жұмыс істеуді жеңілдету үшін тәуекел картасы жасалды.
ETA жұмысының нәтижесі
Барлығы жақсы сияқты, бірақ желіні орналастыру туралы сөйлесейік.
ETA физикалық жүзеге асырылуы
Мұнда бірқатар нюанстар мен нәзіктіктер пайда болады. Біріншіден, мұндай түрін жасау кезінде
жоғары деңгейлі бағдарламалық жасақтамасы бар желілер, деректерді жинау қажет. Деректерді толығымен қолмен жинаңыз
жабайы, бірақ жауап беру жүйесін енгізу қазірдің өзінде қызықтырақ. Екіншіден, деректер
көп болуы керек, яғни орнатылған желі сенсорлары жұмыс істеуі керек
автономды түрде ғана емес, сонымен қатар бірқатар қиындықтарды тудыратын нақты реттелген режимде.
Сенсорлар және Stealthwatch жүйесі
Сенсорды орнату бір нәрсе, бірақ оны орнату мүлдем басқа міндет. Сенсорларды конфигурациялау үшін келесі топологияға сәйкес жұмыс істейтін кешен бар - ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = Cisco Cloud Services Router; WLC = Cisco Wireless LAN Controller; IE = Cisco Industrial Ethernet Switch; ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defence Solution; WSA = Web Security Appliance; ISE = Identity Services Engine
Кез келген телеметриялық деректерді ескере отырып, кешенді бақылау
Желі әкімшілері алдыңғы абзацтағы «Cisco» сөздерінің санынан аритмияны сезіне бастайды. Бұл ғажайыптың бағасы аз емес, бірақ біз бүгін айтып отырғанымыз бұл емес...
Хакердің әрекеті келесідей үлгіленеді. Stealthwatch желідегі әрбір құрылғының белсенділігін мұқият бақылайды және қалыпты мінез-құлық үлгісін жасай алады. Бұған қоса, бұл шешім белгілі орынсыз мінез-құлық туралы терең түсінік береді. Шешім сканерлеу, хост дабыл кадрлары, дөрекі күшпен кіру, күдікті деректерді басып алу, күдікті деректер ағуы және т. Тізімде көрсетілген қауіпсіздік оқиғалары жоғары деңгейлі логикалық дабылдар санатына жатады. Кейбір қауіпсіздік оқиғалары да дабылды өздігінен бастауы мүмкін. Осылайша, жүйе бірнеше оқшауланған аномальды инциденттерді корреляциялауға және ықтимал шабуыл түрін анықтау үшін оларды біріктіруге, сондай-ақ оны белгілі бір құрылғы мен пайдаланушыға байланыстыруға қабілетті (100-сурет). Болашақта оқиға уақыт бойынша және байланысты телеметрия деректерін ескере отырып зерттелуі мүмкін. Бұл ең жақсы жағдайда контекстік ақпаратты құрайды. Ненің дұрыс емес екенін түсіну үшін науқасты тексеріп жатқан дәрігерлер симптомдарды бөлек қарастырмайды. Олар диагноз қою үшін үлкен суретке қарайды. Сол сияқты, Stealthwatch желідегі кез келген аномальды әрекетті түсіріп, контекстке байланысты дабылдарды жіберу үшін оны жан-жақты зерттейді, осылайша қауіпсіздік мамандарына тәуекелдерге басымдық беруге көмектеседі.
Мінез-құлықты модельдеу арқылы аномалияны анықтау
Желінің физикалық орналасуы келесідей көрінеді:
Филиал желісін орналастыру опциясы (жеңілдетілген)
Филиал желісін орналастыру опциясы
Желі іске қосылды, бірақ нейрон туралы мәселе ашық күйінде қалды. Олар деректерді беру желісін ұйымдастырды, табалдырықтарға сенсорларды орнатты және ақпаратты жинау жүйесін іске қосты, бірақ нейрон бұл мәселеге қатыспады. Сау болыңыз.
Көпқабатты нейрондық желі
Жүйе зиянды инфекцияларды, командалық және басқару серверлерімен байланыстарды, деректердің ағып кетуін және ұйымның инфрақұрылымында іске қосылған ықтимал қалаусыз қолданбаларды анықтау үшін пайдаланушы мен құрылғы әрекетін талдайды. Деректерді өңдеудің бірнеше қабаттары бар, мұнда жасанды интеллект, машиналық оқыту және математикалық статистика әдістерінің комбинациясы желіге зиянды әрекетті анықтай алу үшін өзінің қалыпты белсенділігін өздігінен үйренуге көмектеседі.
Шифрланған трафикті қоса, кеңейтілген желінің барлық бөліктерінен телеметрия деректерін жинайтын желі қауіпсіздігін талдау құбыры Stealthwatch бірегей мүмкіндігі болып табылады. Ол «аномальды» дегенді түсінуді біртіндеп дамытады, содан кейін «қауіпті әрекеттің» нақты жеке элементтерін санаттайды және соңында құрылғыға немесе пайдаланушыға іс жүзінде қауіп төнген-болмағаны туралы соңғы қорытынды шығарады. Активтің бұзылғаны туралы түпкілікті шешім қабылдау үшін дәлелді құрайтын шағын бөліктерді біріктіру мүмкіндігі өте мұқият талдау және корреляция арқылы келеді.
Бұл мүмкіндік өте маңызды, өйткені әдеттегі бизнес күн сайын көптеген дабылдарды алуы мүмкін және олардың әрқайсысын зерттеу мүмкін емес, өйткені қауіпсіздік мамандарының ресурстары шектеулі. Машиналық оқыту модулі сенімділіктің жоғары деңгейімен маңызды оқиғаларды анықтау үшін нақты уақыт режимінде ақпараттың үлкен көлемін өңдейді, сондай-ақ жылдам шешу үшін нақты іс-қимыл бағыттарын қамтамасыз ете алады.
Stealthwatch пайдаланатын көптеген машиналық оқыту әдістерін толығырақ қарастырайық. Оқиға Stealthwatch машиналық оқыту жүйесіне жіберілгенде, ол бақыланатын және бақыланбайтын машинаны оқыту әдістерінің тіркесімін пайдаланатын қауіпсіздік талдауының шұңқырынан өтеді.
Көп деңгейлі машиналық оқыту мүмкіндіктері
1-деңгей. Аномалияны анықтау және сенімді модельдеу
Бұл деңгейде статистикалық аномалия детекторлары арқылы трафиктің 99%-ы жойылады. Бұл сенсорлар бірге ненің қалыпты және ненің, керісінше, қалыпты емес екендігінің күрделі үлгілерін құрайды. Дегенмен, әдеттен тыс жағдай міндетті түрде зиянды емес. Желіңізде болып жатқан оқиғалардың көбісі қауіпке ешқандай қатысы жоқ — бұл біртүрлі. Мұндай процестерді қауіп төндіретін мінез-құлыққа қарамай жіктеу маңызды. Осы себепті түсіндіруге және сенуге болатын оғаш мінез-құлықты түсіру үшін мұндай детекторлардың нәтижелері одан әрі талданады. Сайып келгенде, ең маңызды ағындар мен сұраулардың аз ғана бөлігі оны 2 және 3 қабаттарға жасайды. Мұндай машиналық оқыту әдістерін қолданбай, сигналды шуылдан бөлудің операциялық шығындары тым жоғары болар еді.
Аномалияны анықтау. Аномалияны анықтаудың бірінші қадамы статистикалық қалыпты трафикті аномальды трафиктен бөлу үшін статистикалық машиналық оқыту әдістерін пайдаланады. 70-тен астам жеке детектор Stealthwatch желі периметрі арқылы өтетін трафик бойынша жинайтын телеметрия деректерін өңдейді, егер бар болса, ішкі домендік атаулар жүйесінің (DNS) трафигін прокси сервер деректерінен бөледі. Әрбір сұрауды 70-тен астам детектор өңдейді, әрбір детектор анықталған ауытқуларды бағалауды қалыптастыру үшін өзінің статистикалық алгоритмін пайдаланады. Бұл ұпайлар біріктірілген және әрбір жеке сұрау үшін бір ұпай шығару үшін бірнеше статистикалық әдістер пайдаланылады. Содан кейін бұл жиынтық балл қалыпты және аномальды трафикті бөлу үшін пайдаланылады.
Сенімді модельдеу. Содан кейін ұқсас сұраулар топтастырылады және мұндай топтар үшін жиынтық аномалия баллы ұзақ мерзімді орташа мән ретінде анықталады. Уақыт өте келе ұзақ мерзімді орташа мәнді анықтау үшін көбірек сұраулар талданады, осылайша жалған позитивтер мен жалған теріс мәндер азаяды. Сенімді модельдеу нәтижелері келесі өңдеу деңгейіне өту үшін аномалия көрсеткіші кейбір динамикалық анықталған шекті мәннен асатын трафиктің ішкі жиынын таңдау үшін пайдаланылады.
2-деңгей. Оқиғаларды классификациялау және объектіні модельдеу
Бұл деңгейде алдыңғы кезеңдерде алынған нәтижелер жіктеледі және белгілі бір зиянды оқиғаларға тағайындалады. Оқиғалар 90% жоғары дәлдік жылдамдығын қамтамасыз ету үшін машиналық оқыту классификаторлары тағайындаған мән негізінде жіктеледі. Олардың арасында:
- Нейман-Пирсон леммасына негізделген сызықтық модельдер (мақала басындағы графиктен қалыпты таралу заңы)
- көп нұсқалы оқытуды пайдалана отырып, векторлық машиналарды қолдау
- нейрондық желілер және кездейсоқ орман алгоритмі.
Бұл оқшауланған қауіпсіздік оқиғалары уақыт өте келе бір соңғы нүктемен байланыстырылады. Дәл осы кезеңде қауіп сипаттамасы қалыптасады, оның негізінде тиісті шабуылдаушы белгілі бір нәтижелерге қалай қол жеткізгені туралы толық сурет жасалады.
Оқиғалардың классификациясы. Алдыңғы деңгейден статистикалық аномальды ішкі жиын жіктеуіштерді пайдаланып 100 немесе одан да көп санаттарға бөлінеді. Көптеген классификаторлар жеке мінез-құлыққа, топтық қарым-қатынастарға немесе жаһандық немесе жергілікті ауқымдағы мінез-құлыққа негізделген, ал басқалары нақты болуы мүмкін. Мысалы, жіктеуіш C&C трафигін, күдікті кеңейтімді немесе рұқсат етілмеген бағдарламалық құрал жаңартуын көрсете алады. Осы кезеңнің нәтижелері бойынша белгілі бір категорияларға жіктелген қауіпсіздік жүйесіндегі аномальды оқиғалардың жиынтығы қалыптасады.
Объектіні модельдеу. Егер белгілі бір объектінің зиянды екендігі туралы гипотезаны растайтын дәлелдемелердің мөлшері маңыздылық шегінен асып кетсе, қауіп анықталады. Қауіпті анықтауға әсер еткен өзекті оқиғалар осындай қауіппен байланысты және объектінің дискретті ұзақ мерзімді моделінің бөлігі болады. Уақыт өте келе дәлелдер жинақталатындықтан, маңыздылық шегіне жеткенде жүйе жаңа қауіптерді анықтайды. Бұл шекті мән динамикалық болып табылады және қауіп қаупі деңгейіне және басқа факторларға негізделген ақылды түрде реттеледі. Осыдан кейін қауіп веб-интерфейстің ақпараттық панелінде пайда болады және келесі деңгейге ауысады.
3-деңгей. Қарым-қатынасты модельдеу
Қарым-қатынасты модельдеудің мақсаты - тиісті оқиғаның жергілікті ғана емес, сонымен қатар жаһандық контекстін ескере отырып, алдыңғы деңгейлерде алынған нәтижелерді жаһандық тұрғыдан синтездеу. Дәл осы кезеңде оның сізге арнайы бағытталғанын немесе жаһандық науқанның бір бөлігі екенін түсіну үшін қанша ұйым мұндай шабуылға тап болғанын анықтай аласыз және сіз жаңа ғана ұсталдыңыз.
Оқиғалар расталады немесе ашылады. Тексерілген оқиға 99-100% сенімділікті білдіреді, өйткені байланысты әдістер мен құралдар бұрын үлкенірек (жаһандық) ауқымда әрекет етуде байқалған. Анықталған оқиғалар сізге ғана тән және жоғары мақсатты науқанның бір бөлігін құрайды. Бұрынғы нәтижелер белгілі әрекет бағытымен бөлісіліп, жауап ретінде уақыт пен ресурстарды үнемдейді. Олар сізге кім шабуыл жасағанын және науқанның цифрлық бизнеске қаншалықты бағытталғанын түсіну үшін қажет тергеу құралдарымен бірге келеді. Өзіңіз ойлағандай, расталған оқиғалардың саны анықталғандар санынан әлдеқайда асып түседі, себебі расталған оқиғалар шабуылдаушыларға көп шығын әкелмейді, ал анықталған инциденттер.
қымбат, өйткені олар жаңа және теңшелген болуы керек. Расталған оқиғаларды анықтау мүмкіндігін жасай отырып, ойынның экономикасы қорғаушылардың пайдасына ауысып, оларға ерекше артықшылық берді.
ETA негізіндегі нейрондық байланыс жүйесін көп деңгейлі оқыту
Жаһандық тәуекел картасы
Жаһандық тәуекел картасы саладағы ең үлкен деректер жиынының біріне машиналық оқыту алгоритмдері арқылы қолданылатын талдау арқылы жасалады. Ол Интернеттегі серверлерге қатысты кең мінез-құлық статистикасын береді, тіпті олар белгісіз болса да. Мұндай серверлер шабуылдармен байланысты және болашақта шабуылдың бөлігі ретінде тартылуы немесе қолданылуы мүмкін. Бұл «қара тізім» емес, қауіпсіздік тұрғысынан қарастырылатын сервердің жан-жақты суреті. Бұл серверлердің әрекеті туралы контекстік ақпарат Stealthwatch машиналық оқыту детекторлары мен классификаторларына осындай серверлермен байланысқа байланысты тәуекел деңгейін дәл болжауға мүмкіндік береді.
Қол жетімді карталарды көруге болады .
460 миллион IP мекенжайын көрсететін әлем картасы
Енді желі үйренеді және желіңізді қорғау үшін тұрады.
Ақырында панацея табылды ма?
Өкінішке орай, жоқ. Жүйемен жұмыс істеу тәжірибесінен мен 2 жаһандық проблема бар деп айта аламын.
Мәселе 1. Баға. Бүкіл желі Cisco жүйесінде орналастырылған. Бұл жақсы да, жаман да. Жақсы жағы - D-Link, MikroTik және т.б. сияқты көптеген штепсельдерді орнатудың қажеті жоқ. Кемшілігі - жүйенің үлкен құны. Ресейлік бизнестің экономикалық жағдайын ескере отырып, қазіргі уақытта бұл кереметті тек ірі компанияның немесе банктің бай иесі ғана жасай алады.
2-мәселе: Тренинг. Мен мақалада нейрондық желіні оқыту кезеңін жазған жоқпын, бірақ ол жоқ болғандықтан емес, ол үнемі үйреніп жатқандықтан және біз оның қашан үйренетінін болжай алмаймыз. Әрине, математикалық статистиканың құралдары бар (Пирсон конвергенция критерийінің бірдей тұжырымын алыңыз), бірақ бұл жарты өлшемдер. Біз трафикті сүзу ықтималдығын аламыз, тіпті содан кейін шабуыл игерілген және белгілі болған жағдайда ғана.
Осы 2 мәселеге қарамастан, біз жалпы ақпараттық қауіпсіздікті, атап айтқанда желіні қорғауды дамытуда үлкен секіріс жасадық. Бұл факт қазір өте перспективалы бағыт болып табылатын желілік технологиялар мен нейрондық желілерді зерттеуге түрткі болуы мүмкін.
Ақпарат көзі: www.habr.com