Трафиктин шифрин чечпей туруп анализдөө системасы. Бул ыкма жөн гана "машина үйрөнүү" деп аталат. Ар кандай трафиктин өтө чоң көлөмү атайын классификатордун киргизүүсүнө берилсе, система шифрленген трафиктин ичиндеги зыяндуу коддун аракеттерин өтө жогорку ыктымалдуулук менен аныктай алат экен.
Онлайн коркунучтар өзгөрүп, акылдуу болуп калды. Жакында эле чабуул жана коргонуу түшүнүгү өзгөрдү. Тармактагы окуялардын саны бир топ көбөйдү. Чабуулдар татаалдашып, хакерлерге кеңири тараган.
Cisco статистикасына ылайык, акыркы бир жылдын ичинде чабуулчулар өз иш-аракеттери үчүн колдонгон зыяндуу программалардын санын үч эсеге көбөйттү, тагыраагы, аларды жашыруу үчүн шифрлөө. Теориядан "туура" шифрлөө алгоритмин бузууга мүмкүн эмес экендиги белгилүү. Шифрленген трафиктин ичинде эмне катылганын түшүнүү үчүн же ачкычты билип туруп анын шифрин чечиш керек, же ар кандай трюктарды колдонуп, же түз бузуп, же криптографиялык протоколдордогу кандайдыр бир алсыздыктарды колдонуу менен чечмелөө керек.
Биздин замандын тармактык коркунучтарынын сүрөтү
машина үйрөнүү
Технологияны жеке бил! Машина үйрөнүүсүнө негизделген шифрлөө технологиясы өзү кантип иштээри жөнүндө айтуудан мурун, нейрондук тармак технологиясы кантип иштээрин түшүнүү керек.
Machine Learning - бул үйрөнө ала турган алгоритмдерди куруу ыкмаларын изилдеген жасалма интеллекттин кеңири бөлүмү. Бул илим компьютерди "үйрөтүү" үчүн математикалык моделдерди түзүүгө багытталган. Окуунун максаты бир нерсени алдын ала айтуу. Адамдын түшүнүгүндө бул процессти сөз деп атайбыз "акылмандык". Акылмандык көптөн бери жашаган адамдарда (2 жаштагы бала акылман боло албайт) көрүнөт. Кецеш алуу учун старший жолдошторго кайрылганда биз аларга окуя женунде кээ бир информацияларды (киргизилген маалыматтар) берип, алардан жардам сурайбыз. Алар, өз кезегинде, кандайдыр бир деңгээлде сиздин көйгөйүңүзгө (билим базасы) байланыштуу болгон жашоодогу бардык кырдаалдарды эстеп, бул билимдин (маалыматтын) негизинде бизге кандайдыр бир прогноз (кеңеш) берет. Кеңештин бул түрү алдын ала айтуу деп атала баштаган, анткени кеңеш берген адам эмне болорун так билбейт, болгону болжолдойт. Турмуш тажрыйбасы көрсөткөндөй, адам туура да, туура эмес да болушу мүмкүн.
Нейрондук тармактарды бутакталган алгоритм менен салыштырбаңыз (if-else). Бул ар кандай нерселер жана негизги айырмачылыктар бар. Тармактык алгоритм эмне кылуу керек экенин так "түшүнүүгө" ээ. Мен мисалдар менен көрсөтөм.
Тапшырма. Машинанын тормоздоо аралыкты анын маркасы жана чыгарылган жылы боюнча аныктаңыз.
Тармактык алгоритмдин мисалы. Эгерде унаа 1-маркада болсо жана 2012-жылы чыгарылган болсо, анын тормоздоо аралыкы 10 метрди түзөт, антпесе, унаа 2-маркада болсо жана 2011-жылы чыгарылган ж.б.у.с.
Нейрондук тармактын мисалы. Биз акыркы 20 жыл ичинде унаанын тормоздоо аралыктары боюнча маалыматтарды чогултабыз. Соода жана жыл боюнча биз “өндүрүш жылы-тормоздук аралык” формасынын таблицасын түзөбүз. Биз бул таблицаны нейрон тармагына чыгарып, аны үйрөтө баштайбыз. Окутуу төмөнкүдөй жүргүзүлөт: биз нейрондук тармакка маалыматтарды беребиз, бирок тормоз жолу жок. Нейрон ага жүктөлгөн столдун негизинде тормоздук аралыктын кандай болорун алдын ала айтууга аракет кылат. Бир нерсени алдын ала айтып, колдонуучудан "Мен туурабы?" Суроонун алдында ал төртүнчү тилкени, болжолдоо тилкесин түзөт. Эгер ал туура болсо, төртүнчү графага 1 жазат, туура эмес болсо 0 деп жазат. Нейрондук тармак кийинки окуяга өтөт (ката болсо да). Тармак ушинтип үйрөнөт жана тренинг аяктагандан кийин (белгилүү бир конвергенция критерийине жеттик), биз кызыккан унаа тууралуу маалыматтарды тапшырып, акырында жооп алабыз.
Конвергенция критерийи жөнүндөгү суроону алып салуу үчүн, мен бул статистика үчүн математикалык жактан алынган формула экенин түшүндүрөм. Эки башка конвергенция формулаларынын айкын мисалы. Кызыл – бинардык конвергенция, көк – нормалдуу конвергенция.
Биномдук жана нормалдуу ыктымалдык бөлүштүрүү
Түшүнүктүү болуш үчүн “Динозаврга жолугуу ыктымалдыгы кандай?” деген суроону бериңиз. Бул жерде 2 мүмкүн жооп бар. 1-вариант – өтө кичинекей (көк график). 2-вариант – жолугушуу же жокпу (кызыл график).
Албетте, компьютер адам эмес жана ал башкача үйрөнөт. Темир аттын 2 түрү бар: кейс негизинде окутуу и дедуктивдүү окутуу.
Прецедент боюнча окутуу – математикалык мыйзамдарды колдонуу менен окутуунун ыкмасы. Математиктер статистикалык таблицаларды чогултуп, жыйынтык чыгарып, натыйжаны нейрондук тармакка жүктөшөт - эсептөө формуласы.
Дедуктивдүү окутуу - үйрөнүү толугу менен нейрондо (маалыматтарды чогултуудан баштап, аны талдоого чейин) болот. Бул жерде таблица формуласыз, бирок статистика менен түзүлөт.
Технологияга кеңири сереп салуу дагы бир нече ондогон макалаларды талап кылат. Азырынча бул биздин жалпы түшүнүү үчүн жетиштүү болот.
Нейропластика
Биологияда мындай түшүнүк бар - нейропластика. Нейропластика – бул нейрондордун (мээ клеткаларынын) “жагдайга жараша” аракеттенүү жөндөмдүүлүгү. Мисалы, көзү көрбөй калган адам үндөрдү жакшыраак угат, жыттанып, нерселерди жакшы сезет. Бул мээнин көрүү үчүн жооптуу бөлүгү (нейрондордун бөлүгү) өз ишин башка функцияларга бөлүштүрүү менен шартталган.
Жашоодогу нейропластиканын айкын мисалы - BrainPort лолипопу.
2009-жылы Мэдисондогу Висконсин университети "тилдик дисплейдин" идеяларын иштеп чыккан жаңы аппараттын чыгарылганын жарыялаган - ал BrainPort деп аталды. BrainPort төмөнкү алгоритм боюнча иштейт: видеосигнал камерадан масштабды, жарыкты жана башка сүрөт параметрлерин башкарган процессорго жөнөтүлөт. Ал ошондой эле санариптик сигналдарды электрдик импульстарга айлантып, негизинен торчонун функцияларын өзүнө алат.
Көз айнек жана камера менен BrainPort лолипопу
BrainPort жумушта
Ошол эле компьютер менен. Нейрондук тармак процесстин өзгөрүшүн сезсе, ага ыңгайлашат. Бул башка алгоритмдерге салыштырмалуу нейрондук тармактардын негизги артыкчылыгы - автономия. Адамгерчиликтин бир түрү.
Шифрленген трафиктин аналитикасы
Шифрленген Traffic Analytics Stealthwatch тутумунун бир бөлүгү болуп саналат. Stealthwatch - бул Cisco компаниясынын коопсуздукту көзөмөлдөө жана аналитика чечимдерине кириши, ал учурдагы тармак инфраструктурасынан ишкана телеметрия маалыматтарын колдонот.
Stealthwatch Enterprise Flow Rate License, Flow Collector, Management Console жана Flow Sensor куралдарына негизделген.
Cisco Stealthwatch Interface
Шифрлөө маселеси өтө курч болуп калды, анткени трафиктин саны көбүрөөк шифрлене баштаган. Мурда код гана шифрленген (негизинен), бирок азыр бардык трафик шифрленген жана вирустардан “таза” маалыматтарды бөлүп алуу бир топ кыйындады. Анын эң сонун үлгүсү WannaCry болуп саналат, ал интернетте катышуусун жашыруу үчүн Tor колдонгон.
Тармактагы трафикти шифрлөөнүн өсүшүнүн визуализациясы
Макроэкономикада шифрлөө
Encrypted Traffic Analytics (ETA) системасы шифрленген трафик менен аны чечмелөөсүз иштөө үчүн зарыл. Чабуулчулар акылдуу жана криптога чыдамдуу шифрлөө алгоритмдерин колдонушат жана аларды бузуу бир гана көйгөй эмес, уюмдар үчүн өтө кымбат.
Система төмөнкүдөй иштейт. Бир аз трафик компанияга келет. Бул TLS (транспорт катмарынын коопсуздугу) кирет. Келгиле, трафик шифрленген деп коёлу. Кандай байланыш түзүлдү деген бир катар суроолорго жооп берүүгө аракет кылып жатабыз.
Encrypted Traffic Analytics (ETA) системасы кантип иштейт
Бул суроолорго жооп берүү үчүн биз бул системада машина үйрөнүүнү колдонобуз. Cisco компаниясынан изилдөө алынып, бул изилдөөлөрдүн негизинде 2 натыйжадан таблица түзүлөт - зыяндуу жана "жакшы" трафик. Албетте, биз азыркы учурда системага түздөн-түз кандай трафик киргенин так билбейбиз, бирок дүйнөлүк аренадагы маалыматтарды колдонуу менен компаниянын ичиндеги жана сыртындагы трафиктин тарыхын байкай алабыз. Бул этаптын аягында биз маалыматтар менен чоң таблицаны алабыз.
Изилдөөнүн натыйжалары боюнча мүнөздүү белгилер аныкталат - математикалык түрдө жазууга мүмкүн болгон белгилүү бир эрежелер. Бул эрежелер ар кандай критерийлерге жараша ар кандай болот - өткөрүлүп берилген файлдардын өлчөмү, байланыштын түрү, бул трафик келген өлкө ж.б. Иштин натыйжасында чоң үстөл формулалардын үймөгүнө айланды. Алардын саны аз, бирок бул ыңгайлуу иштөө үчүн жетишсиз.
Андан кийин, машинаны үйрөнүү технологиясы колдонулат - формула конвергенциясы жана конвергенциянын жыйынтыгы боюнча биз триггерди алабыз - которгуч, мында маалыматтар чыкканда биз көтөрүлгөн же түшүрүлгөн абалда которгучту (желек) алабыз.
Натыйжада, трафиктин 99% камтыган триггерлердин топтомун алуу.
ETAдагы жол текшерүү кадамдары
Иштин жыйынтыгында дагы бир маселе чечилет – ичтен чабуул. Ортодогу адамдардын трафикти кол менен чыпкалоосунун кереги жок (ушул учурда өзүмдү өзүм чөгүп жатам). Биринчиден, мындан ары компетенттүү системалык администраторго көп акча коротуунун кереги жок (мен өзүмдү чөгүп кетем). Экинчиден, ичинен хакерлик коркунучу жок (жок дегенде жарым-жартылай).
Эскирген адам ортодогу концепция
Эми система эмнеге негизделгенин карап көрөлү.
Система 4 байланыш протоколунда иштейт: TCP/IP – Интернет маалыматтарды берүү протоколу, DNS – домендик аталыш сервери, TLS – транспорттук катмардын коопсуздук протоколу, SPLT (SpaceWire Physical Layer Tester) – физикалык байланыш катмарынын сыноочусу.
ETA менен иштеген протоколдор
Салыштыруу маалыматтарды салыштыруу жолу менен жүргүзүлөт. TCP/IP протоколдорун колдонуу менен сайттардын аброю текшерилет (кирүү тарыхы, сайтты түзүү максаты ж.б.), DNS протоколунун аркасында биз сайттын “жаман” даректерин жокко чыгара алабыз. TLS протоколу сайттын манжа изи менен иштейт жана сайтты компьютердин шашылыш жооп берүү тобуна каршы текшерет (сертификат). Байланышты текшерүүнүн акыркы кадамы физикалык деңгээлде текшерүү. Бул этаптын майда-чүйдөсүнө чейин такталбаган, бирок пункт төмөнкүчө: осциллографиялык орнотуулар боюнча маалыматтарды берүү ийри сызыктарынын синус жана косинус ийри сызыгын текшерүү, б.а. Физикалык катмардагы суроо-талаптын түзүлүшүнүн аркасында биз туташуунун максатын аныктайбыз.
Системанын иштешинин натыйжасында биз шифрленген трафиктен маалыматтарды ала алабыз. Пакеттерди текшерүү менен биз пакеттин өзүндөгү шифрленбеген талаалардан мүмкүн болушунча көбүрөөк маалыматты окуй алабыз. Пакетти физикалык катмарда текшерүү менен биз пакеттин мүнөздөмөлөрүн (жарым-жартылай же толугу менен) билебиз. Ошондой эле, сайттардын аброю жөнүндө унутпа. Сурам кандайдыр бир .onion булагынан келсе, ага ишенбешиңиз керек. Мындай маалыматтар менен иштөөнү жеңилдетүү үчүн тобокелдик картасы түзүлдү.
ЭТАнын ишинин жыйынтыгы
Жана баары жакшы окшойт, бирок келгиле тармакты жайылтуу жөнүндө сүйлөшөлү.
ЭТАны физикалык ишке ашыруу
Бул жерде бир катар нюанстар жана кылдаттыктар пайда болот. Биринчиден, бул түрүн түзүп жатканда
жогорку деңгээлдеги программалык камсыздоо менен тармактар, маалыматтарды чогултуу талап кылынат. Толугу менен кол менен маалыматтарды чогултуу
жапайы, бирок жооп берүү системасын ишке ашыруу мурунтан эле кызыктуураак. Экинчиден, маалыматтар
көп болушу керек, бул орнотулган тармак сенсорлору иштеши керек дегенди билдирет
автономиялуу гана эмес, ошондой эле бир катар кыйынчылыктарды жаратуучу такталган режимде.
Сенсорлор жана Stealthwatch системасы
Сенсорду орнотуу бир нерсе, бирок аны орнотуу такыр башка иш. Сенсорлорду конфигурациялоо үчүн төмөнкү топологияга ылайык иштеген комплекс бар - ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = Cisco Cloud Services Router; WLC = Cisco Wireless LAN Controller; IE = Cisco Industrial Ethernet Switch; ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defence Solution; WSA = Web Security Appliance; ISE = Identity Services Engine
Ар кандай телеметрикалык маалыматтарды эске алуу менен комплекстүү мониторинг
Тармактын администраторлору мурунку абзацтагы "Cisco" деген сөздөрдүн санынан аритмияны башташат. Бул кереметтин баасы аз эмес, бирок биз бүгүн айтып жаткан нерсе эмес...
Хакердин жүрүм-туруму төмөнкүдөй моделделет. Stealthwatch кылдат тармактагы ар бир аппараттын ишин көзөмөлдөйт жана кадимки жүрүм-турум үлгүсүн түзө алат. Мындан тышкары, бул чечим белгилүү орунсуз жүрүм-турумга терең түшүнүк берет. Чечим 100гө жакын ар кандай анализ алгоритмдерин же эвристиканы колдонот, алар трафиктин ар кандай жүрүм-туруму, мисалы, сканерлөө, хост сигнализациясы, катаал логиндер, шектүү маалыматтарды басып алуу, шектүү маалыматтардын агып кетиши ж.б.у.с. Сандалган коопсуздук окуялары жогорку деңгээлдеги логикалык сигналдардын категориясына кирет. Кээ бир коопсуздук окуялары да өз алдынча ойготкучту жаратышы мүмкүн. Ошентип, система бир нече обочолонгон аномалдуу инциденттерди корреляциялоого жана аларды бириктирип, чабуулдун мүмкүн болгон түрүн аныктоого, ошондой эле аны белгилүү бир түзүлүшкө жана колдонуучуга байланыштыра алат (2-сүрөт). Келечекте, окуя убакыттын өтүшү менен жана байланышкан телеметриялык маалыматтарды эске алуу менен изилдениши мүмкүн. Бул эң жакшы контексттик маалыматты түзөт. Эмне болуп жатканын түшүнүү үчүн бейтапты текшерип жаткан дарыгерлер симптомдорду өзүнчө карашпайт. Алар диагноз коюу үчүн чоң сүрөттү карашат. Ошо сыяктуу эле, Stealthwatch тармактагы ар бир аномалдык иш-аракеттерди кармап, контекстке байланыштуу ойготкучтарды жөнөтүү үчүн аны комплекстүү түрдө текшерип, ошону менен коопсуздук адистерине тобокелдиктерди биринчи орунга коюуга жардам берет.
жүрүм-турум моделдөө аркылуу аномалия аныктоо
Тармактын физикалык жайылуусу төмөнкүдөй көрүнөт:
Филиал тармагын жайылтуу опциясы (жөнөкөйлөштүрүлгөн)
Филиал тармагын жайылтуу опциясы
Тармак жайгаштырылды, бирок нейрон тууралуу суроо ачык бойдон калууда. Алар маалымат берүү тармагын уюштуруп, босоголорго сенсорлорду орнотуп, маалымат чогултуу системасын ишке киргизишти, бирок нейрон бул маселеге катышкан жок. Кош болуңуз.
Көп катмарлуу нейрон тармагы
Система зыяндуу инфекцияларды, командалык жана башкаруу серверлери менен болгон байланыштарды, маалыматтардын агып кетишин жана уюмдун инфраструктурасында иштеген потенциалдуу керексиз тиркемелерди аныктоо үчүн колдонуучунун жана түзмөктүн жүрүм-турумун талдайт. Жасалма интеллект, машинаны үйрөнүү жана математикалык статистиканын ыкмаларынын айкалышы тармакка өзүнүн нормалдуу ишмердүүлүгүн өз алдынча үйрөнүүгө жардам берген маалыматтарды иштеп чыгуунун бир нече катмарлары бар, ал зыяндуу аракеттерди аныктай алат.
Кеңейтилген тармактын бардык бөлүктөрүнөн, анын ичинде шифрленген трафиктен телеметриялык маалыматтарды чогултуучу тармактык коопсуздук талдоо түтүгү Stealthwatch уникалдуу өзгөчөлүгү болуп саналат. Ал акырындап "аномалдуу" деген түшүнүктү өнүктүрөт, андан кийин "коркунучтуу иш-аракеттердин" чыныгы айрым элементтерин категорияларга бөлөт жана акырында түзмөк же колдонуучу чындап эле бузулганбы же жокпу деген акыркы чечимди чыгарат. Активдин бузулгандыгы жөнүндө акыркы чечимди кабыл алуу үчүн далилдерди түзгөн майда бөлүктөрдү бириктирүү жөндөмдүүлүгү өтө кылдат талдоо жана корреляция аркылуу келет.
Бул жөндөмдүүлүк маанилүү, анткени типтүү бизнес күн сайын көп сандагы сигналдарды кабыл алышы мүмкүн жана алардын ар бирин изилдөө мүмкүн эмес, анткени коопсуздук адистеринин ресурстары чектелүү. Машина үйрөнүү модулу реалдуу убакыт режиминде чоң көлөмдөгү маалыматты иштетип, критикалык инциденттерди жогорку ишеним менен аныктайт, ошондой эле тез чечүү үчүн так аракеттерди көрсөтө алат.
Келгиле, Stealthwatch колдонгон көптөгөн машина үйрөнүү ыкмаларын кененирээк карап чыгалы. Окуя Stealthwatch'тин машина үйрөнүү кыймылдаткычына тапшырылганда, ал көзөмөлдөнгөн жана көзөмөлдөнбөгөн машинаны үйрөнүү ыкмаларынын айкалышын колдонгон коопсуздук талдоо тутумунан өтөт.
Көп деңгээлдүү машина үйрөнүү мүмкүнчүлүктөрү
1-деңгээл. Аномалияларды аныктоо жана ишеним моделдөө
Бул деңгээлде трафиктин 99% статистикалык аномалия детекторлорунун жардамы менен жок кылынат. Бул сенсорлор чогуу эмне нормалдуу жана эмне, тескерисинче, анормалдуу татаал моделдерин түзөт. Бирок анормалдуу көрүнүш сөзсүз түрдө зыяндуу эмес. Тармагыңызда болуп жаткандардын көбү коркунучка эч кандай тиешеси жок — бул кызыктай. Мындай процесстерди коркунучтуу жүрүм-турумга карабай классификациялоо маанилүү. Ушул себептен улам, мындай детекторлордун натыйжалары түшүндүрүлө турган жана ишене турган кызыктай жүрүм-турумдарды алуу үчүн андан ары талданат. Акыр-аягы, эң маанилүү жиптердин жана суроо-талаптардын аз гана бөлүгү 2 жана 3-кабаттарга жеткирилет. Мындай машина үйрөнүү ыкмаларын колдонбосо, сигналды ызы-чуусунан ажыратуунун операциялык чыгымдары өтө жогору болмок.
Аномалияны аныктоо. Аномалияны аныктоодогу биринчи кадам статистикалык нормалдуу трафикти аномалдуу трафиктен бөлүү үчүн статистикалык машина үйрөнүү ыкмаларын колдонот. 70тен ашык жеке детекторлор Stealthwatch сиздин тармактын периметри аркылуу өткөн трафик боюнча чогулткан телеметриялык маалыматтарды иштетип, ички домендик аталыштар тутумунун (DNS) трафигин прокси сервер маалыматтарынан бөлөт. Ар бир сурам 70тен ашык детекторлор тарабынан иштелип чыгат, ар бир детектор табылган аномалияларга баа берүү үчүн өзүнүн статистикалык алгоритмин колдонот. Бул упайлар бириктирилет жана ар бир жеке суроо үчүн бир упай өндүрүү үчүн бир нече статистикалык ыкмалар колдонулат. Андан кийин бул жалпы балл кадимки жана аномалдуу трафикти бөлүү үчүн колдонулат.
Моделдөө ишеним. Андан кийин окшош суроо-талаптар топторго бөлүнөт жана мындай топтор үчүн жалпы аномалия баллы узак мөөнөттүү орточо көрсөткүч катары аныкталат. Убакыттын өтүшү менен узак мөөнөттүү орточо көрсөткүчтү аныктоо үчүн көбүрөөк суроо талданат, ошону менен жалган позитивдүү жана жалган терс көрсөткүчтөр азаят. Ишенимдүү моделдөөнүн натыйжалары кийинки иштетүү деңгээлине өтүү үчүн аномалия баллы динамикалык аныкталган босогодон ашкан трафиктин бир бөлүгүн тандоо үчүн колдонулат.
2-деңгээл. Окуяларды классификациялоо жана объектти моделдөө
Бул деңгээлде мурунку этаптарда алынган натыйжалар классификацияланат жана белгилүү бир зыяндуу окуяларга ыйгарылат. Окуялар 90%дан жогору тактыктын ырааттуулугун камсыз кылуу үчүн машина үйрөнүү классификаторлору тарабынан дайындалган маанинин негизинде классификацияланат. Алардын ичинен:
- Нейман-Пирсон леммасына негизделген сызыктуу моделдер (макаланын башындагы графиктен нормалдуу бөлүштүрүү мыйзамы)
- көп варианттуу окутууну колдонуу менен вектордук машиналарды колдоо
- нейрон тармактары жана кокус токой алгоритми.
Бул обочолонгон коопсуздук окуялары убакыттын өтүшү менен бир акыркы чекит менен байланышкан. Дал ушул этапта коркунучтун сыпаттамасы түзүлөт, анын негизинде тиешелүү чабуулчу кандай натыйжаларга жетише алганы тууралуу толук сүрөт түзүлөт.
Окуялардын классификациясы. Мурунку деңгээлдеги статистикалык аномалдуу топтому классификаторлордун жардамы менен 100 же андан көп категорияга бөлүштүрүлөт. Көпчүлүк классификаторлор жеке жүрүм-турумга, топтук мамилелерге же глобалдык же жергиликтүү масштабдагы жүрүм-турумга негизделет, ал эми башкалары так болушу мүмкүн. Мисалы, классификатор C&C трафигин, шектүү кеңейтүүнү же уруксатсыз программалык камсыздоону жаңыртууну көрсөтө алат. Бул этаптын жыйынтыгы боюнча белгилүү категорияларга классификацияланган коопсуздук системасындагы аномалдуу окуялардын жыйындысы түзүлөт.
Объектти моделдөө. Эгерде белгилүү бир объект зыяндуу деген гипотезаны тастыктаган далилдердин саны олуттуулук чегинен ашып кетсе, коркунуч аныкталат. Коркунучту аныктоого таасир эткен актуалдуу окуялар мындай коркунуч менен байланышкан жана объекттин дискреттүү узак мөөнөттүү моделинин бир бөлүгү болуп калат. Убакыттын өтүшү менен далилдер топтолгон сайын, система олуттуулук чегине жеткенде жаңы коркунучтарды аныктайт. Бул чектик маани динамикалуу жана коркунучтун деңгээлине жана башка факторлорго жараша акылдуу түрдө туураланган. Андан кийин, коркунуч веб-интерфейстин маалымат панелинде пайда болуп, кийинки деңгээлге өтөт.
3-деңгээл. мамилелерди моделдөө
Мамилелерди моделдештирүүнүн максаты - тиешелүү окуянын жергиликтүү гана эмес, глобалдык контекстти да эске алуу менен мурунку деңгээлдерде алынган жыйынтыктарды глобалдык көз караштан синтездөө. Дал ушул этапта сиз канча уюм мындай чабуулга туш болгонун, ал атайын сизге багытталганбы же глобалдык кампаниянын бир бөлүгүбү түшүнүү үчүн аныктай аласыз жана сиз жаңы эле кармалып калдыңыз.
Окуялар тастыкталган же табылган. Текшерилген инцидент 99% дан 100%га чейин ишенимди билдирет, анткени тиешелүү техникалар жана аспаптар мурда чоңураак (глобалдык) масштабда аракетте байкалган. Табылган инциденттер сизге уникалдуу болуп саналат жана жогорку максаттуу кампаниянын бир бөлүгүн түзөт. Мурунку табылгалар белгилүү иш багыты менен бөлүшүлүп, жооп катары убакытты жана ресурстарды үнөмдөйсүз. Алар сизге ким кол салганын жана өнөктүк сиздин санариптик бизнесиңизге канчалык деңгээлде багытталганын түшүнүшүңүз керек болгон тергөө куралдары менен келет. Сиз элестете тургандай, тастыкталган инциденттердин саны аныкталгандардын санынан алда канча ашып кетет, анткени тастыкталган инциденттер чабуулчуларга көп чыгым алып келбейт, ал эми аныкталган инциденттер.
кымбат, анткени алар жаңы жана ылайыкташтырылган болушу керек. Ырасталган окуяларды аныктоо мүмкүнчүлүгүн түзүү менен, оюндун экономикасы акыры коргоочулардын пайдасына өзгөрүп, аларга өзгөчө артыкчылык берди.
ETA негизинде нейрон байланыш системасынын көп баскычтуу окутуу
Глобалдык тобокелдик картасы
Глобалдык тобокелдик картасы тармактагы эң чоң маалымат топтомдорунун бирине машина үйрөнүү алгоритмдери тарабынан колдонулган талдоо аркылуу түзүлөт. Бул Интернеттеги серверлерге байланыштуу кеңири жүрүм-турум статистикасын берет, алар белгисиз болсо да. Мындай серверлер чабуулдар менен байланышкан жана келечекте чабуулдун бир бөлүгү катары тартылышы же колдонулушу мүмкүн. Бул "кара тизме" эмес, коопсуздук жагынан каралып жаткан сервердин толук сүрөтү. Бул серверлердин активдүүлүгү жөнүндө бул контексттик маалымат Stealthwatch'тин машина үйрөнүү детекторлоруна жана классификаторлоруна мындай серверлер менен байланышууга байланышкан тобокелдиктин деңгээлин так болжолдоого мүмкүндүк берет.
Сиз жеткиликтүү карталарды көрө аласыз .
460 миллион IP даректерди көрсөткөн дүйнөлүк карта
Азыр тармак үйрөнөт жана тармакты коргоо үчүн турат.
Акыры, панацея табылдыбы?
Тилекке каршы, жок. Система менен иштөө тажрыйбасынан мен 2 глобалдык көйгөй бар деп айта алам.
Маселе 1. Баа. Бардык тармак Cisco системасында жайгаштырылган. Бул жакшы да, жаман да эмес. Жакшы жагы - сиз D-Link, MikroTik, ж.б.у.с. Кемчилиги - бул системанын чоң баасы. Орус бизнесинин экономикалык абалын эске алганда, азыркы учурда бул кереметти ири компаниянын же банктын бай ээси гана көтөрө алат.
Маселе 2: Тренинг. Мен макалада нейрондук тармак үчүн машыгуу мөөнөтүн жазган жокмун, бирок ал жок болгондуктан эмес, ал дайыма үйрөнүп жаткандыктан жана качан үйрөнөөрүн алдын ала айта албайбыз. Албетте, математикалык статистиканын инструменттери бар (Пирсондун конвергенция критерийинин ошол эле формуласын алгыла), бирок булар жарым өлчөм. Биз трафикти чыпкалоо ыктымалдыгын алабыз, ал тургай, чабуул буга чейин өздөштүрүлгөн жана белгилүү болгон шартта гана.
Ушул 2 көйгөйгө карабастан, биз жалпысынан маалыматтык коопсуздукту өнүктүрүүдө жана өзгөчө тармакты коргоодо чоң секирик жасадык. Бул факт тармактык технологияларды жана нейрон тармактарын изилдөөгө түрткү болушу мүмкүн, алар азыр абдан келечектүү багыт болуп саналат.
Source: www.habr.com