E System fir den Traffic ze analyséieren ouni et ze entschlësselen. Dës Method gëtt einfach "Maschinn Léieren" genannt. Et huet sech erausgestallt datt wann e ganz grousse Volume vu verschiddene Verkéier un den Input vun engem speziellen Klassifizéierer gefüttert gëtt, kann de System d'Aktiounen vum béiswëllegen Code am verschlësselte Verkéier mat engem ganz héije Grad vu Wahrscheinlechkeet erkennen.
Online Gefore hu geännert a méi clever ginn. Viru kuerzem huet sech d'Konzept vun Attack a Verteidegung geännert. D'Zuel vun den Eventer am Netz ass wesentlech eropgaang. Attacke si méi raffinéiert ginn an Hacker hunn eng méi breet Erreeche.
Laut Cisco Statistiken, iwwer d'lescht Joer hunn Ugräifer d'Zuel vu Malware verdräifacht, déi se fir hir Aktivitéiten benotzen, oder éischter, Verschlësselung fir se ze verstoppen. Et ass aus der Theorie bekannt datt de "korrekte" Verschlësselungsalgorithmus net gebrach ka ginn. Fir ze verstoen wat am verschlësselte Traffic verstoppt ass, ass et néideg entweder ze entschlësselen, de Schlëssel ze kennen, oder probéiert et mat verschiddenen Tricks ze entschlësselen, oder direkt hacken, oder eng Aart vu Schwachstelle a kryptographesche Protokoller benotzen.
E Bild vun den Netzwierkbedrohungen vun eiser Zäit
Maschinn léieren
Kennt d'Technologie perséinlech! Ier Dir schwätzt wéi d'Maschinn Léier-baséiert Entschlësselungstechnologie selwer funktionnéiert, ass et néideg ze verstoen wéi neural Netzwierktechnologie funktionnéiert.
Machine Learning ass eng breet Ënnersektioun vu kënschtlecher Intelligenz déi Methoden studéiert fir Algorithmen ze konstruéieren déi kënne léieren. Dës Wëssenschaft zielt fir mathematesch Modeller ze kreéieren fir e Computer ze "Trainéieren". Den Zweck vum Léieren ass eppes virauszesoen. Am mënschleche Verständnis nenne mir dëse Prozess d'Wuert "Wäisheet". Wäisheet manifestéiert sech a Leit, déi zimmlech laang gelieft hunn (en 2 Joer ale Kand kann net schlau sinn). Wann Dir un d'Seniorkomeroden fir Rotschléi wenden, gi mir hinnen e puer Informatioun iwwer d'Evenement (Inputdaten) a froen se fir Hëllef. Si, am Tour, erënneren all Situatiounen aus dem Liewen, datt iergendwéi zu Äre Problem Zesummenhang sinn (Wëssen Basis) an, baséiert op dësem Wëssen (Daten), ginn eis eng Zort Viraussoen (Berodung). Dës Aart vu Berodung huet ugefaang Prognose genannt ze ginn, well d'Persoun, déi d'Berodung gëtt, net sécher weess wat wäert geschéien, awer nëmmen iwwerhëlt. D'Liewenserfarung weist datt eng Persoun richteg ka sinn, oder hien kann falsch sinn.
Dir sollt net neural Netzwierker mam Verzweigungsalgorithmus vergläichen (wann-soen). Dëst si verschidde Saachen an et gi Schlëssel Differenzen. De Verzweigungsalgorithmus huet e kloert "Verständnis" vu wat ze maachen. Ech wäert mat Beispiller demonstréieren.
Aufgab. Bestëmmt d'Bremsdistanz vun engem Auto op Basis vu sengem Mark a Joer vun der Fabrikatioun.
E Beispill vum Verzweigungsalgorithmus. Wann en Auto Mark 1 ass an 2012 verëffentlecht gouf, ass seng Bremsdistanz 10 Meter, soss, wann den Auto Mark 2 ass an 2011 verëffentlecht gouf, etc.
E Beispill vun engem neuralen Netzwierk. Mir sammelen Daten iwwer d'Bremsdistanz vun Autoen an de leschten 20 Joer. No Mark a Joer, kompiléiere mir eng Tabell vun der Form "Make-Joer vun Fabrikatioun-Bremsen Distanz". Mir ginn dësen Dësch un den neurale Netzwierk eraus a fänken un ze léieren. Training gëtt wéi follegt duerchgefouert: Mir fidderen Daten un den neurale Netzwierk, awer ouni Bremswee. Den Neuron probéiert virauszesoen, wat d'Bremsdistanz baséiert op der Tabell, déi dra gelueden ass. Prognostéiert eppes a freet de Benotzer "Sinn ech Recht?" Virun der Fro erstellt si eng véiert Kolonn, d'Gussing Kolonn. Wann hatt richteg ass, da schreift se 1 an der véierter Kolonn, wann hatt falsch ass, schreift se 0. D'neural Netzwierk geet op dat nächst Event (och wann et e Feeler gemaach huet). Esou léiert d'Netz a wann d'Formatioun ofgeschloss ass (e gewësse Konvergenzcritère ass erreecht ginn), gi mir Daten iwwer den Auto un deen mir interesséiert a kréie schlussendlech eng Äntwert.
Fir d'Fro iwwer de Konvergenzcritère ze läschen, wäert ech erklären datt dëst eng mathematesch ofgeleet Formel fir Statistiken ass. E markant Beispill vun zwou verschiddene Konvergenzformelen. Rout - binär Konvergenz, blo - normal Konvergenz.
Binomial an normal Wahrscheinlechkeetsverdeelungen
Fir et méi kloer ze maachen, stellt d'Fro "Wat ass d'Wahrscheinlechkeet fir en Dinosaurier ze treffen?" Et ginn 2 méiglech Äntwerten hei. Optioun 1 - ganz kleng (blo Graf). Optioun 2 - entweder eng Versammlung oder net (roude Grafik).
Natierlech ass e Computer keng Persoun an et léiert anescht. Et ginn 2 Zorte vun Eisen Päerd Training: case-baséiert Léieren и deduktiv Léieren.
Léieren duerch Prezedenz ass e Wee fir mathematesch Gesetzer ze léieren. Mathematiker sammelen Statistiktabellen, zéien Conclusiounen a lued d'Resultat an den neurale Netzwierk - eng Formel fir d'Berechnung.
Deduktiv Léieren - Léieren geschitt ganz am Neuron (vun Datensammlung bis zur Analyse). Hei gëtt eng Tabell ouni Formel geformt, awer mat Statistiken.
E breeden Iwwerbléck iwwer d'Technologie géif nach e puer Dosen Artikelen huelen. Fir de Moment ass dëst genuch fir eis allgemeng Verständnis.
Neuroplastizitéit
An der Biologie gëtt et esou e Konzept - Neuroplastizitéit. Neuroplastizitéit ass d'Fäegkeet vun Neuronen (Gehirzellen) fir "no der Situatioun" ze handelen. Zum Beispill, eng Persoun, déi seng Siicht verluer huet, héiert Kläng, richt a senséiert Objete besser. Dëst geschitt wéinst der Tatsaach datt den Deel vum Gehir (Deel vun den Neuronen) verantwortlech fir Visioun seng Aarbecht op aner Funktionalitéit verdeelt.
E markant Beispill vun Neuroplastizitéit am Liewen ass de BrainPort Lollipop.
Am Joer 2009 huet d'Universitéit vu Wisconsin zu Madison d'Verëffentlechung vun engem neien Apparat ugekënnegt, deen d'Iddie vun engem "Sproochdisplay" entwéckelt huet - et gouf BrainPort genannt. BrainPort funktionnéiert no dem folgenden Algorithmus: de Videosignal gëtt vun der Kamera an de Prozessor geschéckt, deen Zoom, Hellegkeet an aner Bildparameter kontrolléiert. Et konvertéiert och digital Signaler an elektresch Impulser, déi wesentlech d'Funktioune vun der Netzhaut iwwerhuelen.
BrainPort Lollipop mat Brëller a Kamera
BrainPort op der Aarbecht
Selwecht mat engem Computer. Wann dat neuralt Netzwierk eng Verännerung am Prozess erkennt, passt et sech un. Dëst ass de Schlësselvirdeel vun neurale Netzwierker am Verglach mat aneren Algorithmen - Autonomie. Eng Aart vu Mënschheet.
Verschlësselte Verkéier Analytics
Verschlësselte Traffic Analytics ass Deel vum Stealthwatch System. Stealthwatch ass dem Cisco seng Entrée an d'Sécherheetsiwwerwaachung an d'Analytikléisungen, déi Enterprise Telemetrie Daten aus existéierend Netzwierkinfrastrukturen ausnotzen.
Stealthwatch Enterprise baséiert op der Flow Rate Lizenz, Flow Collector, Management Console a Flow Sensor Tools.
Cisco Stealthwatch Interface
De Problem mat der Verschlësselung gouf ganz akut wéinst der Tatsaach datt vill méi Traffic ugefaang verschlësselt ze ginn. Virdrun war nëmmen de Code verschlësselte (meeschtens), awer elo ass all Traffic verschlësselt an d'Trennung vun "propper" Daten vu Viren ass vill méi schwéier ginn. E markant Beispill ass WannaCry, deen Tor benotzt huet fir seng Online Präsenz ze verstoppen.
Visualiséierung vum Wuesstum vun der Verkéiersverschlësselung am Netz
Verschlësselung an der Makroeconomie
De Verschlësselte Traffic Analytics (ETA) System ass néideg präzis fir mat verschlësselte Verkéier ze schaffen ouni et ze entschlësselen. Ugräifer sinn intelligent a benotzen krypto-resistente Verschlësselungsalgorithmen, a se briechen ass net nëmmen e Problem, awer och extrem deier fir Organisatiounen.
De System funktionnéiert wéi follegt. E puer Verkéier kënnt op d'Firma. Et fällt an TLS (Transport Layer Security). Loosst eis soen datt de Traffic verschlësselt ass. Mir probéieren eng Rei Froen ze beäntweren iwwer wéi eng Verbindung gemaach gouf.
Wéi de Encrypted Traffic Analytics (ETA) System funktionnéiert
Fir dës Froen ze beäntweren benotze mir Maschinnléieren an dësem System. Fuerschung vu Cisco gëtt geholl a baséiert op dësen Studien gëtt en Dësch aus 2 Resultater erstallt - béiswëlleg a "gutt" Traffic. Natierlech wësse mir net sécher, wéi eng Zort Traffic am System direkt am Moment an der Zäit erakomm ass, awer mir kënnen d'Geschicht vum Traffic souwuel bannen wéi ausserhalb vun der Firma verfollegen mat Daten aus der Weltbühn. Um Enn vun dëser Etapp kréie mir eng rieseg Tabell mat Daten.
Baséierend op d'Resultater vun der Etude sinn charakteristesch Fonctiounen identifizéiert - bestëmmte Regelen, déi an mathematesch Form opgeschriwwe ginn. Dës Regele variéieren immens ofhängeg vu verschiddene Critèren - d'Gréisst vun den transferéierten Dateien, d'Zort vun der Verbindung, d'Land aus deem dëse Verkéier kënnt, etc. Als Resultat vun der Aarbecht huet de risege Dësch an eng Rei vu Koup Formelen ëmgewandelt. Et gi manner vun hinnen, awer dëst ass net genuch fir bequem Aarbecht.
Als nächst gëtt d'Maschinn Léiertechnologie applizéiert - Formelkonvergenz a baséiert op d'Resultat vun der Konvergenz kréie mir en Ausléiser - e Schalter, wou wann d'Donnéeën erausginn, mir e Schalter (Fändel) an der opgehuewe oder niddereger Positioun kréien.
Déi resultéierend Etapp ass eng Rei vun Ausléiser ze kréien, déi 99% vum Traffic ofdecken.
Verkéier Inspektioun Schrëtt an ETA
Als Resultat vun der Aarbecht ass en anere Problem geléist - en Ugrëff vu bannen. Et gëtt kee Besoin méi datt Leit an der Mëtt de Verkéier manuell filteren (ech erdrénke mech op dësem Punkt). Éischtens, Dir braucht net méi vill Suen op engem kompetente System Administrateur ze verbréngen (ech weider ze erdrénken). Zweetens ass et keng Gefor fir vu bannen ze hacken (op d'mannst deelweis).
Aalt Man-in-the-Middle Konzept
Loosst eis elo erausfannen op wat de System baséiert.
De System funktionnéiert op 4 Kommunikatiounsprotokoller: TCP / IP - Internet Datenübertragungsprotokoll, DNS - Domain Numm Server, TLS - Transport Layer Sécherheetsprotokoll, SPLT (SpaceWire Physical Layer Tester) - kierperlech Kommunikatioun Layer Tester.
Protokoller déi mat ETA schaffen
De Verglach gëtt gemaach andeems d'Donnéeën vergläicht. Mat TCP/IP Protokoller gëtt de Ruff vu Site iwwerpréift (Besuchgeschicht, Zweck fir de Site ze kreéieren, asw.), Dank dem DNS-Protokoll kënne mir "schlecht" Site Adressen entwerfen. Den TLS Protokoll funktionnéiert mam Fangerofdrock vun engem Site a verifizéiert de Site géint e Computer Noutfall Team (cert). De leschte Schrëtt fir d'Verbindung ze kontrolléieren ass d'Kontroll um kierperlechen Niveau. D'Detailer vun dëser Etapp sinn net spezifizéiert, mä de Punkt ass wéi follegt: Iwwerpréiwung vun der Sinus an Cosinus Kéiren vun Daten Transmissioun Kéiren op oszillographesch Installatiounen, i.e. Dank der Struktur vun der Ufro op der kierperlecher Schicht bestëmmen mir den Zweck vun der Verbindung.
Als Resultat vun der Operatioun vum System kënne mir Daten aus verschlësselte Verkéier kréien. Duerch d'Untersuchung vu Pakete kënne mir esou vill Informatioun wéi méiglech aus den onverschlësselte Felder am Paket selwer liesen. Andeems Dir de Paket an der kierperlecher Schicht kontrolléiert, fanne mir d'Charakteristiken vum Paket eraus (deelweis oder komplett). Och vergiesst net iwwer de Ruff vun de Siten. Wann d'Ufro vun enger .onion Quell koum, sollt Dir et net trauen. Fir et méi einfach ze maachen mat dëser Zort vun Donnéeën ze schaffen, gouf eng Risikokaart erstallt.
Resultat vun der ETA Aarbecht
An alles schéngt gutt ze sinn, awer loosst eis iwwer d'Netzwierkung schwätzen.
Kierperlech Ëmsetzung vun ETA
Eng Rei Nuancen a Subtletien entstinn hei. Éischtens, wann Dir dës Zort schafen
Netzwierker mat héijer Software, Datensammlung ass erfuerderlech. Sammelt Daten manuell komplett
wëll, mee d'Ëmsetzung vun engem Äntwert System scho méi interessant. Zweetens, d'Donnéeën
et soll vill ginn, dat heescht, datt déi installéiert Reseau Sensoren Aarbecht muss
net nëmmen autonom, mä och an engem fein ofgestëmmte Modus, wat eng Rei Schwieregkeeten schaaft.
Sensoren a Stealthwatch System
E Sensor installéieren ass eng Saach, awer et opzestellen ass eng komplett aner Aufgab. Fir eng Konfiguratioun vu Sensoren gëtt et e Komplex deen no der folgender Topologie funktionnéiert - ISR = Cisco Integrated Services Router; ASR = Cisco Aggregatioun Services Router; CSR = Cisco Cloud Services Router; WLC = Cisco Wireless LAN Controller; IE = Cisco Industriell Ethernet Schalter; ASA = Cisco Adaptive Sécherheetsapparat; FTD = Cisco Firepower Threat Verdeedegung Léisung; WSA = Web Security Appliance; ISE = Identitéitsservicer Engine
Ëmfaasst Iwwerwaachung berücksichtegt all telemetresch Donnéeën
Network Administrateuren fänken un Arrhythmie vun der Zuel vun de Wierder "Cisco" am virege Paragraph ze Erfahrung. De Präis vun dësem Wonner ass net kleng, awer dat ass net wat mir haut schwätzen ...
D'Verhalen vum Hacker gëtt wéi follegt modelléiert. Stealthwatch iwwerwaacht virsiichteg d'Aktivitéit vun all Apparat am Netz an ass fäeg e Muster vum normale Verhalen ze kreéieren. Zousätzlech gëtt dës Léisung déif Abléck an bekannt onpassend Verhalen. D'Léisung benotzt ongeféier 100 verschidden Analysealgorithmen oder Heuristiken déi verschidden Aarte vu Verkéiersverhalen adresséieren wéi Scannen, Hostalarmframes, Brute-Force Logins, verdächtegt Datefang, verdächtegt Datelekage, etc. D'Sécherheetsevenementer, déi opgezielt sinn, falen ënner der Kategorie vu logeschen Alarmer op héijem Niveau. E puer Sécherheetsevenementer kënnen och eleng en Alarm ausléisen. Sou ass de System fäeg multiple isoléiert anomalesch Tëschefäll ze korreléieren an se zesummenzesetzen fir déi méiglech Aart vun Attack ze bestëmmen, wéi och mat engem spezifeschen Apparat a Benotzer ze verbannen (Figur 2). An Zukunft kann den Zwëschefall iwwer Zäit studéiert ginn a berücksichtegt déi assoziéiert Telemetriedaten. Dëst stellt kontextuell Informatioun op seng Bescht. Dokteren, déi e Patient ënnersichen fir ze verstoen wat falsch ass, kucken d'Symptomer net isoléiert. Si kucken op dat grousst Bild fir eng Diagnos ze maachen. Och Stealthwatch erfaasst all anomal Aktivitéit am Netz an iwwerpréift se holistesch fir kontextbewosst Alarmer ze schécken, an doduerch d'Sécherheetsfachleit ze hëllefen Risiken ze prioritären.
Anomalie Detektioun mat Verhalensmodelléierung
Déi kierperlech Deployment vum Netz gesäit esou aus:
Branch Network Deployment Optioun (vereinfacht)
Branch Network Deployment Optioun
D'Netzwierk gouf ofgesat, awer d'Fro iwwer den Neuron bleift op. Si hunn en Datenübertragungsnetz organiséiert, Sensoren op d'Schwellen installéiert an en Informatiounssammlungssystem lancéiert, awer den Neuron huet net un der Saach deelgeholl. Äddi.
Multilayer neural Netzwierk
De System analyséiert d'Benotzer- an d'Apparatverhalen fir béiswëlleg Infektiounen z'entdecken, Kommunikatioun mat Kommando- a Kontrollserveren, Datenlecks a potenziell ongewollte Applikatiounen, déi an der Infrastruktur vun der Organisatioun lafen. Et gi verschidde Schichten vun der Dateveraarbechtung, wou eng Kombinatioun vu kënschtlecher Intelligenz, Maschinnléieren a mathematesch Statistik Techniken hëllefen dem Netz seng normal Aktivitéit selwer ze léieren, sou datt et béiswëlleg Aktivitéit kann entdecken.
D'Netzsécherheetsanalyse Pipeline, déi Telemetriedaten aus allen Deeler vum erweiderten Netzwierk sammelt, inklusiv verschlësselte Verkéier, ass eng eenzegaarteg Feature vu Stealthwatch. Et entwéckelt inkrementell e Verständnis vu wat "anomal ass", kategoriséiert dann déi tatsächlech individuell Elementer vun "Bedrohungsaktivitéit", a mécht endlech en definitiven Uerteel ob den Apparat oder de Benotzer tatsächlech kompromittéiert gouf. D'Kapazitéit fir kleng Stécker zesummenzebréngen, déi zesummen de Beweis bilden fir eng definitiv Entscheedung ze treffen iwwer ob e Verméigen kompromittéiert ass, kënnt duerch ganz virsiichteg Analyse a Korrelatioun.
Dës Fäegkeet ass wichteg well en typescht Geschäft all Dag eng grouss Unzuel vun Alarmer kritt, an et ass onméiglech all eenzel z'ënnersichen well Sécherheetsfachleit limitéiert Ressourcen hunn. D'Maschinn Léiermodul veraarbecht enorm Quantitéiten un Informatioun a bal Echtzäit fir kritesch Tëschefäll mat engem héijen Niveau vu Vertrauen z'identifizéieren, an ass och fäeg fir kloer Handlungscoursen fir séier Léisung ze bidden.
Loosst eis e méi no kucken op déi vill Maschinnléiertechniken déi vu Stealthwatch benotzt ginn. Wann en Zwëschefall dem Stealthwatch seng Maschinn Léiermotor presentéiert gëtt, geet et duerch e Sécherheetsanalyse Triichter, deen eng Kombinatioun vun iwwerwaachte an net iwwerwaachte Maschinnléiertechniken benotzt.
Multi-Level Maschinn Léierfäegkeeten
Niveau 1. Anomalie Detektioun a Vertrauensmodelléierung
Op dësem Niveau ginn 99% vum Traffic verworf mat statisteschen Anomalidetektoren. Dës Sensoren bilden zesummen komplex Modeller vu wat normal ass a wat am Géigendeel anormal ass. Wéi och ëmmer, déi anormal ass net onbedéngt schiedlech. Vill vun deem wat op Ärem Netz geschitt ass näischt mat der Bedrohung ze dinn - et ass just komesch. Et ass wichteg sou Prozesser ze klassifizéieren ouni Betrag vu menacéiert Verhalen. Aus dësem Grond ginn d'Resultater vun esou Detektore weider analyséiert fir komescht Verhalen opzehuelen, dat erkläert a vertraut ka ginn. Schlussendlech, nëmmen e klengen Deel vun de wichtegsten thread an Ufroe maachen et an d'Schichten 2 an 3. Ouni d'Benotzung vun esou Maschinnléiertechniken, wieren d'Operatiounskäschte fir d'Signal vum Kaméidi ze trennen ze héich.
Anomalie Detektioun. Den éischte Schrëtt an der Anomalierkennung benotzt statistesch Maschinnléiertechniken fir statistesch normalen Traffic vum anomalen Traffic ze trennen. Méi wéi 70 individuell Detektoren veraarbechten d'Telemetriedaten Stealthwatch sammelt iwwer Traffic deen duerch Ären Netzperimeter passéiert, trennt den internen Domain Name System (DNS) Traffic vu Proxy Server Daten, wann iwwerhaapt. All Ufro gëtt vu méi wéi 70 Detektoren veraarbecht, mat all Detektor mat sengem eegene statisteschen Algorithmus fir eng Bewäertung vun den entdeckten Anomalien ze bilden. Dës Partituren gi kombinéiert a verschidde statistesch Methode gi benotzt fir eng eenzeg Partitur fir all eenzel Ufro ze produzéieren. Dësen aggregéierte Score gëtt dann benotzt fir normalen an anomalen Traffic ze trennen.
Modeller Vertrauen. Als nächst ginn ähnlech Ufroe gruppéiert, an d'aggregéiert Anomalie Score fir sou Gruppen gëtt als laangfristeg Duerchschnëtt bestëmmt. Mat der Zäit gi méi Ufroen analyséiert fir de laangfristeg Duerchschnëtt ze bestëmmen, doduerch falsch Positiver a falsch Negativer ze reduzéieren. D'Vertrauensmodelléierungsresultater gi benotzt fir e Subset vum Traffic ze wielen deem säin Anomalie Score e puer dynamesch bestëmmte Schwell iwwerschreift fir op den nächste Veraarbechtungsniveau ze plënneren.
Niveau 2. Event Klassifikatioun an Objektmodelléierung
Op dësem Niveau ginn d'Resultater, déi an de fréiere Stadien kritt goufen, klasséiert an u spezifesch béiswëlleg Eventer zougewisen. Eventer ginn klasséiert op Basis vum Wäert, dee vu Maschinnléiere Klassifizéierer zougewisen ass, fir eng konsequent Genauegkeetsquote iwwer 90% ze garantéieren. Ënnert hinnen:
- linear Modeller baséiert op dem Neyman-Pearson Lemma (d'Gesetz vun der normaler Verdeelung aus der Grafik am Ufank vum Artikel)
- Ënnerstëtzt Vektormaschinne mat multivariate Léieren
- neural Netzwierker an de zoufälleg Bësch Algorithmus.
Dës isoléiert Sécherheetsevenementer ginn dann mat engem eenzegen Endpunkt mat der Zäit verbonnen. Et ass op dëser Etapp datt eng Bedrohungsbeschreiwung geformt gëtt, baséiert op där e komplett Bild erstallt gëtt wéi den zoustännegen Ugräifer et fäerdeg bruecht huet bestëmmte Resultater z'erreechen.
Klassifikatioun vun Evenementer. De statistesch anomale Ënnerdeel vum viregten Niveau gëtt an 100 oder méi Kategorien verdeelt mat Klassifizéierer. Déi meescht Klassifizéierer baséieren op individuellt Verhalen, Gruppebezéiungen oder Verhalen op enger globaler oder lokaler Skala, anerer kënne ganz spezifesch sinn. Zum Beispill kann de Klassifizéierer C&C Traffic, eng verdächteg Extensioun oder en onerlaabten Softwareupdate uginn. Baséierend op d'Resultater vun dëser Etapp, gëtt eng Rei vun anormalen Eventer am Sécherheetssystem, a bestëmmte Kategorien klasséiert, geformt.
Objektmodellering. Wann d'Quantitéit u Beweiser déi d'Hypothese ënnerstëtzen datt e bestëmmten Objet schiedlech ass d'Materialitéitsschwell iwwerschreift, gëtt eng Bedrohung bestëmmt. Relevant Eventer, déi d'Definitioun vun enger Bedrohung beaflosst, si mat esou enger Bedrohung verbonnen a ginn Deel vun engem diskrete laangfristeg Modell vum Objet. Wéi Beweiser mat der Zäit accumuléiert, identifizéiert de System nei Bedrohungen wann d'Materialitéitsschwell erreecht gëtt. Dëse Schwellwäert ass dynamesch an ass intelligent ugepasst op Basis vum Niveau vum Bedrohungsrisiko an aner Faktoren. Duerno erschéngt d'Drohung op der Informatiounspanel vun der Webinterface a gëtt op den nächsten Niveau transferéiert.
Niveau 3. Relatioun Modeller
Den Zweck vun der Bezéiungsmodelléierung ass d'Resultater, déi op fréiere Niveauen aus enger globaler Perspektiv kritt goufen, ze synthetiséieren, net nëmmen de lokale, awer och de globale Kontext vum relevanten Tëschefall berücksichtegt. Et ass op dëser Etapp datt Dir feststellt wéivill Organisatiounen esou en Attack begéint hunn fir ze verstoen ob et speziell op Iech geriicht war oder Deel vun enger globaler Kampagne ass, an Dir sidd just gefaangen.
Tëschefäll ginn bestätegt oder entdeckt. E verifizéierten Tëschefall implizéiert 99 bis 100% Vertrauen, well déi assoziéiert Techniken an Tools virdru an Aktioun op enger méi grousser (globaler) Skala observéiert goufen. entdeckt Tëschefäll sinn eenzegaarteg fir Iech a bilden en Deel vun enger héich geziilter Kampagne. Vergaangen Erkenntnisser gi mat engem bekannte Handlungsverlaf gedeelt, spuert Iech Zäit a Ressourcen als Äntwert. Si kommen mat den Untersuchungsinstrumenten déi Dir braucht fir ze verstoen wien Iech attackéiert huet an d'Ausmooss wéi d'Campagne op Ärem digitale Geschäft gezielt ass. Wéi Dir Iech virstellen kënnt, ass d'Zuel vun de bestätegten Tëschefäll wäit méi wéi d'Zuel vun den entdeckten aus dem einfache Grond datt bestätegt Tëschefäll net vill Käschte fir Ugräifer involvéieren, während entdeckt Tëschefäll dat maachen.
deier well se nei a personaliséiert musse sinn. Andeems Dir d'Fäegkeet erstellt fir bestätegt Tëschefäll z'identifizéieren, hunn d'Wirtschaft vum Spill endlech zugonschte vun de Verteideger gewiesselt, wat hinnen e markante Virdeel gëtt.
Multi-Level Training vun engem neurale Verbindungssystem baséiert op ETA
Global Risiko Kaart
Déi global Risikokaart gëtt erstallt duerch Analyse applizéiert vu Maschinnléieralgorithmen op ee vun de gréisste Datesätz vu senger Aart an der Industrie. Et bitt extensiv Verhalensstatistiken iwwer Serveren um Internet, och wa se onbekannt sinn. Esou Servere si mat Attacke verbonnen a kënnen an Zukunft als Deel vun engem Attack involvéiert oder benotzt ginn. Dëst ass keng "schwaarz Lëscht", mee eng ëmfaassend Bild vum Server a Fro aus Sécherheetssiicht. Dës kontextuell Informatioun iwwer d'Aktivitéit vun dëse Serveren erlaabt Stealthwatch's Maschinnléierendetektoren a Klassifizéierer fir den Niveau vum Risiko präzis virauszesoen, déi mat Kommunikatiounen mat esou Serveren ass.
Dir kënnt verfügbar Kaarte kucken .
Weltkaart mat 460 Milliounen IP Adressen
Elo léiert d'Netz a steet op fir Äert Netzwierk ze schützen.
Endlech, eng Panacea gouf fonnt?
Leider ass kee. Vun der Erfahrung mam System ze schaffen, kann ech soen datt et 2 global Problemer gëtt.
Problem 1. Präis. De ganze Reseau ass op engem Cisco System ofgebaut. Dëst ass souwuel gutt a schlecht. Déi gutt Säit ass datt Dir net braucht ze stéieren an eng Rëtsch Stecker wéi D-Link, MikroTik, etc. Den Nodeel ass déi enorm Käschte vum System. Bedenkt de wirtschaftlechen Zoustand vun der russescher Affär, am Moment nëmmen e räiche Besëtzer vun enger grousser Firma oder Bank kann dëst Wonner leeschten.
Problem 2: Training. Ech hunn net am Artikel d'Trainingsperiod fir den neurale Netzwierk geschriwwen, awer net well et net existéiert, mee well et déi ganzen Zäit léiert a mir kënnen net viraussoen wéini et léiert. Natierlech ginn et Tools vu mathematesch Statistik (huelt déiselwecht Formuléierung vum Pearson Konvergenzcritère), awer dëst sinn hallef Moossnamen. Mir kréien d'Wahrscheinlechkeet fir de Verkéier ze filteren, an och dann nëmmen ënner der Bedingung datt d'Attack scho beherrscht a bekannt ass.
Trotz dësen 2 Probleemer hu mir e grousse Sprong an der Entwécklung vun der Informatiounssécherheet am Allgemengen an dem Netzschutz besonnesch gemaach. Dëse Fakt kann motivéierend sinn fir d'Studie vun Netzwierktechnologien an neurale Netzwierker, déi elo eng ganz villverspriechend Richtung sinn.
Source: will.com