Sistema, skirta srautui analizuoti jo neiššifruojant. Šis metodas tiesiog vadinamas „mašininiu mokymusi“. Paaiškėjo, kad jei į specialaus klasifikatoriaus įvestį paduodamas labai didelis įvairaus srauto kiekis, sistema su labai didele tikimybe gali aptikti kenkėjiško kodo veiksmus šifruotame sraute.
Internetinės grėsmės pasikeitė ir tapo protingesnės. Pastaruoju metu pasikeitė pati puolimo ir gynybos samprata. Renginių skaičius tinkle labai išaugo. Atakos tapo sudėtingesnės, o įsilaužėliai turi platesnį pasiekiamumą.
Remiantis „Cisco“ statistika, per pastaruosius metus užpuolikai trigubai padidino savo veiklai naudojamų kenkėjiškų programų skaičių, tiksliau – šifravimą, kad jas paslėptų. Iš teorijos žinoma, kad „teisingas“ šifravimo algoritmas negali būti pažeistas. Norint suprasti, kas slepiasi užšifruotame sraute, reikia arba jį iššifruoti žinant raktą, arba bandyti iššifruoti naudojant įvairias gudrybes, arba įsilaužiant tiesiogiai, arba naudojant kažkokius kriptografinių protokolų pažeidžiamumus.
Mūsų laikų tinklo grėsmių vaizdas
Mašininis mokymasis
Susipažinkite su technologijomis asmeniškai! Prieš kalbant apie tai, kaip veikia pati mašininiu mokymusi pagrįsta iššifravimo technologija, būtina suprasti, kaip veikia neuroninių tinklų technologija.
Mašininis mokymasis yra platus dirbtinio intelekto poskyris, kuriame tiriami algoritmų, galinčių mokytis, kūrimo metodai. Šiuo mokslu siekiama sukurti matematinius modelius, skirtus kompiuteriui „treniruoti“. Mokymosi tikslas – ką nors nuspėti. Žmogaus supratimu šį procesą vadiname žodžiu "išmintis". Išmintis pasireiškia žmonėms, kurie gyvena gana ilgai (2 metų vaikas negali būti išmintingas). Kreipdamiesi patarimo į vyresniuosius bendražygius, suteikiame jiems šiek tiek informacijos apie įvykį (įvesties duomenis) ir prašome pagalbos. Jie savo ruožtu prisimena visas situacijas iš gyvenimo, kurios kažkaip susijusios su jūsų problema (žinių baze) ir, remdamiesi šiomis žiniomis (duomenimis), pateikia mums savotišką prognozę (patarimą). Šis patarimas buvo pradėtas vadinti numatymu, nes patariantis asmuo tiksliai nežino, kas nutiks, o tik daro prielaidą. Gyvenimo patirtis rodo, kad žmogus gali būti teisus, gali ir klysti.
Neturėtumėte lyginti neuroninių tinklų su šakojimo algoritmu (jei-kitaip). Tai skirtingi dalykai ir yra esminių skirtumų. Šakos algoritmas turi aiškų „supratimą“, ką daryti. Parodysiu pavyzdžiais.
Užduotis. Nustatykite automobilio stabdymo kelią pagal jo markę ir pagaminimo metus.
Šakos algoritmo pavyzdys. Jei automobilis yra 1 markės ir buvo išleistas 2012 m., jo stabdymo kelias yra 10 metrų, kitu atveju, jei automobilis yra 2 markės ir buvo išleistas 2011 m., ir pan.
Neuroninio tinklo pavyzdys. Renkame duomenis apie automobilių stabdymo kelią per pastaruosius 20 metų. Pagal markę ir metus sudarome lentelės formą „gamybos metai – stabdymo kelias“. Išduodame šią lentelę neuroniniam tinklui ir pradedame ją mokyti. Mokymai vykdomi taip: tiekiame duomenis į neuroninį tinklą, bet be stabdymo kelio. Neuronas bando numatyti, koks bus stabdymo kelias pagal į jį įkeltą lentelę. Kažką nuspėja ir klausia vartotojo: „Ar aš teisus? Prieš klausimą, ji sukuria ketvirtą stulpelį, spėjimo stulpelį. Jei ji teisi, ketvirtame stulpelyje rašo 1, jei klysta – 0. Neuroninis tinklas pereina prie kito įvykio (net jei suklydo). Taip tinklas mokosi ir baigus mokymus (pasiekus tam tikrą konvergencijos kriterijų) pateikiame duomenis apie mus dominantį automobilį ir galiausiai gauname atsakymą.
Norėdami pašalinti klausimą apie konvergencijos kriterijų, paaiškinsiu, kad tai yra matematiškai išvestinė statistikos formulė. Ryškus dviejų skirtingų konvergencijos formulių pavyzdys. Raudona – dvejetainė konvergencija, mėlyna – normali konvergencija.
Binominis ir normaliasis tikimybių skirstiniai
Kad būtų aiškiau, užduokite klausimą „Kokia tikimybė sutikti dinozaurą? Čia yra 2 galimi atsakymai. 1 variantas – labai mažas (mėlynas grafikas). 2 variantas – arba susitikimas, arba ne (raudonas grafikas).
Žinoma, kompiuteris – ne žmogus ir mokosi kitaip. Yra 2 geležinio arklio treniruočių tipai: atvejo mokymasis и dedukcinis mokymasis.
Mokymas pagal precedentą yra mokymo būdas naudojant matematinius dėsnius. Matematikai renka statistikos lenteles, daro išvadas ir įkelia rezultatą į neuroninį tinklą – skaičiavimo formulę.
Dedukcinis mokymasis – mokymasis vyksta tik neurone (nuo duomenų rinkimo iki jų analizės). Čia lentelė sudaroma be formulės, bet su statistika.
Plačiai technologijos apžvalgai prireiktų dar poros dešimčių straipsnių. Kol kas to pakaks mūsų bendram supratimui.
Neuroplastiškumas
Biologijoje yra tokia sąvoka – neuroplastiškumas. Neuroplastiškumas – tai neuronų (smegenų ląstelių) gebėjimas veikti „pagal situaciją“. Pavyzdžiui, netekęs regėjimo žmogus geriau girdi garsus, užuodžia, jaučia daiktus. Taip nutinka dėl to, kad už regėjimą atsakinga smegenų dalis (neuronų dalis) perskirsto savo darbą kitoms funkcijoms.
Ryškus neuroplastiškumo gyvenime pavyzdys yra „BrainPort“ ledinukas.
2009 m. Viskonsino universitetas Madisone paskelbė apie naujo įrenginio, kuris sukūrė „kalbinio ekrano“ idėjas, išleidimą – jis buvo pavadintas „BrainPort“. BrainPort veikia pagal tokį algoritmą: vaizdo signalas iš kameros siunčiamas į procesorių, kuris valdo priartinimą, šviesumą ir kitus vaizdo parametrus. Jis taip pat konvertuoja skaitmeninius signalus į elektrinius impulsus, iš esmės perimdamas tinklainės funkcijas.
BrainPort ledinukas su akiniais ir fotoaparatu
„BrainPort“ darbe
Tas pats su kompiuteriu. Jei neuroninis tinklas jaučia proceso pasikeitimą, jis prie jo prisitaiko. Tai yra pagrindinis neuroninių tinklų pranašumas, palyginti su kitais algoritmais – autonomija. Savotiškas žmogiškumas.
Šifruota srauto analizė
Šifruota srauto analizė yra „Stealthwatch“ sistemos dalis. „Stealthwatch“ yra „Cisco“ įdiegta saugumo stebėjimo ir analizės sprendimai, kurie naudoja esamos tinklo infrastruktūros įmonės telemetrijos duomenis.
„Stealthwatch Enterprise“ yra pagrįsta srauto greičio licencija, srauto rinktuvu, valdymo pultu ir srauto jutikliu.
„Cisco Stealthwatch“ sąsaja
Šifravimo problema tapo labai opi dėl to, kad buvo pradėta šifruoti daug daugiau srauto. Anksčiau buvo šifruojamas tik kodas (dažniausiai), o dabar visas srautas yra užšifruotas ir atskirti „švarius“ duomenis nuo virusų tapo daug sunkiau. Ryškus pavyzdys yra „WannaCry“, kuri naudojo „Tor“, kad paslėptų savo buvimą internete.
Srauto šifravimo tinkle augimo vizualizacija
Šifravimas makroekonomikoje
Encrypted Traffic Analytics (ETA) sistema reikalinga būtent darbui su šifruotu srautu jo neiššifruojant. Užpuolikai yra sumanūs ir naudoja kriptografijai atsparius šifravimo algoritmus, o jų sulaužymas yra ne tik problema, bet ir itin brangu organizacijoms.
Sistema veikia taip. Tam tikras srautas ateina į įmonę. Jis patenka į TLS (transporto sluoksnio saugumą). Tarkime, srautas yra užšifruotas. Bandome atsakyti į daugybę klausimų apie tai, koks ryšys buvo užmegztas.
Kaip veikia Encrypted Traffic Analytics (ETA) sistema
Norėdami atsakyti į šiuos klausimus, šioje sistemoje naudojame mašininį mokymąsi. Paimami Cisco tyrimai ir remiantis šiais tyrimais sudaroma lentelė iš 2 rezultatų – kenkėjiško ir „gero“ srauto. Žinoma, mes tiksliai nežinome, koks srautas pateko į sistemą tiesiogiai dabartiniu laiko momentu, tačiau mes galime atsekti eismo istoriją tiek įmonės viduje, tiek už jos ribų, naudodamiesi pasaulio arenos duomenimis. Šio etapo pabaigoje gauname didžiulę lentelę su duomenimis.
Remiantis tyrimo rezultatais, nustatomi būdingi požymiai – tam tikros taisyklės, kurias galima užrašyti matematine forma. Šios taisyklės labai skirsis priklausomai nuo skirtingų kriterijų – perkeliamų failų dydžio, ryšio tipo, šalies, iš kurios ateina šis srautas ir kt. Dėl darbo didžiulis stalas virto krūvomis formulių. Jų yra mažiau, tačiau patogiam darbui to neužtenka.
Toliau taikoma mašininio mokymosi technologija – formulės konvergencija ir remiantis konvergencijos rezultatu gauname trigerį – jungiklį, kur išvedant duomenis gauname jungiklį (vėliavą) pakeltoje arba nuleistoje padėtyje.
Gautas etapas yra aktyviklių, apimančių 99 % srauto, rinkinio gavimas.
Eismo tikrinimo žingsniai ETA
Darbo rezultate išsprendžiama dar viena problema – puolimas iš vidaus. Nebereikia, kad žmonės, esantys viduryje, filtruotų srautą rankiniu būdu (šiuo metu skęstu). Pirma, jums nebereikia išleisti daug pinigų kompetentingam sistemos administratoriui (aš ir toliau skęstu). Antra, nėra pavojaus įsilaužti iš vidaus (bent iš dalies).
Pasenusi „Žmogaus viduryje“ koncepcija
Dabar išsiaiškinkime, kuo pagrįsta sistema.
Sistema veikia 4 ryšio protokolais: TCP/IP – interneto duomenų perdavimo protokolas, DNS – domeno vardų serveris, TLS – transporto sluoksnio saugos protokolas, SPLT (SpaceWire Physical Layer Tester) – fizinio ryšio sluoksnio testeris.
Protokolai, dirbantys su ETA
Palyginimas atliekamas lyginant duomenis. Naudojant TCP/IP protokolus, tikrinama svetainių reputacija (lankymų istorija, svetainės kūrimo tikslas ir kt.), DNS protokolo dėka galime atmesti „blogus“ svetainių adresus. TLS protokolas veikia su svetainės kontroliniu atspaudu ir patikrina svetainę pagal kompiuterio reagavimo į avarijas komandą (sertifikavimą). Paskutinis ryšio tikrinimo veiksmas yra tikrinimas fiziniu lygiu. Šio etapo detalės nenurodomos, bet esmė tokia: duomenų perdavimo kreivių sinuso ir kosinuso kreivių tikrinimas oscilografiniuose įrenginiuose, t.y. Dėl užklausos struktūros fiziniame lygmenyje nustatome ryšio tikslą.
Dėl sistemos veikimo galime gauti duomenis iš šifruoto srauto. Nagrinėdami paketus galime nuskaityti kuo daugiau informacijos iš nešifruotų laukų pačiame pakete. Apžiūrėdami paketą fiziniame sluoksnyje, išsiaiškiname paketo charakteristikas (iš dalies arba visiškai). Taip pat nepamirškite apie svetainių reputaciją. Jei užklausa gauta iš kokio nors .onion šaltinio, neturėtumėte juo pasitikėti. Kad būtų lengviau dirbti su tokio tipo duomenimis, buvo sukurtas rizikos žemėlapis.
ETA darbo rezultatas
Ir viskas atrodo gerai, bet pakalbėkime apie tinklo diegimą.
Fizinis ETA įgyvendinimas
Čia iškyla nemažai niuansų ir subtilybių. Pirma, kuriant tokį
tinkluose su aukšto lygio programine įranga, reikalingas duomenų rinkimas. Visiškai surinkite duomenis rankiniu būdu
laukinis, bet reagavimo sistemą įgyvendinti jau įdomiau. Antra, duomenys
turėtų būti daug, vadinasi, įdiegti tinklo jutikliai turi veikti
ne tik autonomiškai, bet ir tiksliai sureguliuotu režimu, o tai sukelia daug sunkumų.
Jutikliai ir Stealthwatch sistema
Jutiklio įdiegimas yra vienas dalykas, tačiau jo nustatymas yra visiškai kita užduotis. Norint konfigūruoti jutiklius, yra kompleksas, veikiantis pagal tokią topologiją - ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = „Cisco Cloud Services Router“; WLC = „Cisco“ belaidžio LAN valdiklis; IE = Cisco pramoninis eterneto jungiklis; ASA = Cisco Adaptive Security Appliance; FTD = „Cisco Firepower“ grėsmių apsaugos sprendimas; WSA = Web Security Appliance; ISE = tapatybės paslaugų variklis
Išsamus stebėjimas, atsižvelgiant į bet kokius telemetrinius duomenis
Tinklo administratoriai pradeda patirti aritmiją nuo žodžių „Cisco“ skaičiaus ankstesnėje pastraipoje. Šio stebuklo kaina nemaža, bet šiandien ne apie tai kalbame...
Įsilaužėlių elgesys bus modeliuojamas taip. Stealthwatch atidžiai stebi kiekvieno tinklo įrenginio veiklą ir gali sukurti įprasto elgesio modelį. Be to, šis sprendimas suteikia gilios įžvalgos apie žinomą netinkamą elgesį. Sprendimas naudoja maždaug 100 skirtingų analizės algoritmų arba euristikos metodų, skirtų įvairiems eismo elgsenos tipams, pvz., nuskaitymui, pagrindinio kompiuterio aliarmo kadrams, brutalios jėgos prisijungimams, įtariamam duomenų fiksavimui, įtariamam duomenų nutekėjimui ir kt. Išvardinti saugumo įvykiai patenka į aukšto lygio loginių aliarmų kategoriją. Kai kurie saugumo įvykiai taip pat gali sukelti pavojaus signalą. Taigi sistema gali susieti kelis atskirus anomalius incidentus ir sujungti juos, kad nustatytų galimą atakos tipą, taip pat susieti jį su konkrečiu įrenginiu ir vartotoju (2 pav.). Ateityje incidentas gali būti tiriamas laikui bėgant ir atsižvelgiant į susijusius telemetrijos duomenis. Tai yra geriausia kontekstinė informacija. Gydytojai, tiriantys pacientą, norėdami suprasti, kas negerai, nežiūri į simptomus atskirai. Norėdami nustatyti diagnozę, jie žiūri į bendrą vaizdą. Taip pat „Stealthwatch“ fiksuoja kiekvieną anomalią veiklą tinkle ir visapusiškai ją ištiria, kad nusiųstų kontekstą suvokiančius pavojaus signalus, taip padėdamas saugos specialistams nustatyti pavojų prioritetus.
Anomalijų aptikimas naudojant elgesio modeliavimą
Fizinis tinklo išdėstymas atrodo taip:
Filialo tinklo diegimo parinktis (supaprastinta)
Filialo tinklo diegimo parinktis
Tinklas buvo įdiegtas, tačiau klausimas apie neuroną lieka atviras. Jie suorganizavo duomenų perdavimo tinklą, ant slenksčių sumontavo jutiklius ir paleido informacijos rinkimo sistemą, tačiau neuronas tame reikale nedalyvavo. Ate.
Daugiasluoksnis neuroninis tinklas
Sistema analizuoja vartotojo ir įrenginio elgesį, kad aptiktų kenkėjiškas infekcijas, ryšius su komandų ir valdymo serveriais, duomenų nutekėjimą ir galimai nepageidaujamas programas, veikiančias organizacijos infrastruktūroje. Yra keli duomenų apdorojimo lygiai, kuriuose dirbtinio intelekto, mašininio mokymosi ir matematinės statistikos metodų derinys padeda tinklui savarankiškai išmokti įprastos veiklos, kad galėtų aptikti kenkėjišką veiklą.
Tinklo saugumo analizės dujotiekis, renkantis telemetrijos duomenis iš visų išplėstinio tinklo dalių, įskaitant šifruotą srautą, yra unikali „Stealthwatch“ savybė. Jis palaipsniui plėtoja supratimą apie tai, kas yra „anomaliai“, tada suskirsto į kategorijas tikruosius atskirus „grėsmės veiklos“ elementus ir galiausiai priima galutinį sprendimą, ar įrenginys ar vartotojas iš tikrųjų buvo pažeistas. Gebėjimas sujungti mažas dalis, kurios kartu sudaro įrodymus, leidžiančius priimti galutinį sprendimą, ar turtas buvo pažeistas, atsiranda labai kruopščios analizės ir koreliacijos metu.
Šis gebėjimas yra svarbus, nes įprastas verslas kasdien gali gauti daugybę pavojaus signalų, o kiekvieno iš jų ištirti neįmanoma, nes saugos specialistai turi ribotus išteklius. Mašininio mokymosi modulis beveik realiuoju laiku apdoroja didelius informacijos kiekius, kad būtų galima labai patikimai nustatyti kritinius incidentus, taip pat gali pateikti aiškius veiksmų planus, kaip greitai išspręsti problemą.
Pažvelkime atidžiau į daugybę „Stealthwatch“ naudojamų mašininio mokymosi metodų. Kai incidentas pateikiamas „Stealthwatch“ mašininio mokymosi varikliui, jis praeina per saugos analizės kanalą, kuriame naudojamas prižiūrimų ir neprižiūrimų mašininio mokymosi metodų derinys.
Kelių lygių mašininio mokymosi galimybės
1 lygis. Anomalijų aptikimas ir pasitikėjimo modeliavimas
Šiame lygyje 99 % srauto atmetami naudojant statistinių anomalijų detektorius. Šie jutikliai kartu sudaro sudėtingus modelius, nurodančius, kas yra normalu, o kas, priešingai, yra nenormalu. Tačiau nenormalumas nebūtinai yra žalingas. Daugelis to, kas vyksta jūsų tinkle, neturi nieko bendra su grėsme – tai tiesiog keista. Svarbu tokius procesus klasifikuoti neatsižvelgiant į grėsmingą elgesį. Dėl šios priežasties tokių detektorių rezultatai toliau analizuojami, siekiant užfiksuoti keistą elgesį, kurį galima paaiškinti ir kuriuo galima pasitikėti. Galiausiai tik maža dalis svarbiausių gijų ir užklausų patenka į 2 ir 3 sluoksnius. Nenaudojant tokių mašininio mokymosi metodų, signalo atskyrimo nuo triukšmo eksploatacinės išlaidos būtų per didelės.
Anomalijų aptikimas. Pirmajame anomalijų aptikimo etape naudojami statistiniai mašininio mokymosi metodai, siekiant atskirti statistiškai normalų srautą nuo anomalaus srauto. Daugiau nei 70 atskirų detektorių apdoroja telemetrijos duomenis, kuriuos „Stealthwatch“ renka apie srautą, einantį per jūsų tinklo perimetrą, atskirdamas vidinį domenų vardų sistemos (DNS) srautą nuo tarpinio serverio duomenų, jei tokių yra. Kiekvieną užklausą apdoroja daugiau nei 70 detektorių, kiekvienas detektorius naudoja savo statistinį algoritmą aptiktų anomalijų įvertinimui. Šie balai sujungiami ir naudojami keli statistiniai metodai, kad būtų gautas vienas balas kiekvienai atskirai užklausai. Tada šis bendras balas naudojamas įprastam ir anomaliam srautui atskirti.
Modeliuojant pasitikėjimą. Toliau panašios užklausos sugrupuojamos, o bendras tokių grupių anomalijų balas nustatomas kaip ilgalaikis vidurkis. Laikui bėgant analizuojama daugiau užklausų, siekiant nustatyti ilgalaikį vidurkį, taip sumažinant klaidingų teigiamų ir klaidingų neigiamų skaičių. Pasitikėjimo modeliavimo rezultatai naudojami norint pasirinkti srauto poaibį, kurio anomalijos balas viršija tam tikrą dinamiškai nustatytą slenkstį, kad būtų galima pereiti į kitą apdorojimo lygį.
2 lygis. Įvykių klasifikavimas ir objektų modeliavimas
Šiame lygyje ankstesniuose etapuose gauti rezultatai yra klasifikuojami ir priskiriami konkretiems kenkėjiškiems įvykiams. Įvykiai klasifikuojami pagal mašininio mokymosi klasifikatorių priskirtą vertę, kad būtų užtikrintas pastovus, didesnis nei 90 %, tikslumas. Tarp jų:
- tiesiniai modeliai, pagrįsti Neyman-Pearson lema (normaliojo pasiskirstymo dėsnis iš grafiko straipsnio pradžioje)
- palaiko vektorines mašinas, naudojančias daugiamatį mokymąsi
- neuroniniai tinklai ir atsitiktinis miško algoritmas.
Tada šie atskiri saugos įvykiai laikui bėgant susiejami su vienu galutiniu tašku. Būtent šiame etape formuojamas grėsmės aprašymas, kurio pagrindu sukuriamas pilnas vaizdas, kaip atitinkamam užpuolikui pavyko pasiekti tam tikrų rezultatų.
Įvykių klasifikacija. Ankstesnio lygio statistiškai anomali poaibis paskirstomas į 100 ar daugiau kategorijų naudojant klasifikatorius. Dauguma klasifikatorių yra pagrįsti individualiu elgesiu, grupiniais santykiais arba elgesiu pasauliniu ar lokaliu mastu, o kiti gali būti gana specifiniai. Pavyzdžiui, klasifikatorius gali nurodyti C&C srautą, įtartiną plėtinį arba neteisėtą programinės įrangos naujinimą. Remiantis šio etapo rezultatais, formuojamas anomalinių įvykių rinkinys apsaugos sistemoje, suskirstytas į tam tikras kategorijas.
Objektų modeliavimas. Jeigu įrodymų, patvirtinančių hipotezę, kad konkretus objektas yra žalingas, kiekis viršija reikšmingumo ribą, nustatoma grėsmė. Atitinkami įvykiai, turėję įtakos grėsmės apibrėžimui, yra susieti su tokia grėsme ir tampa atskiro ilgalaikio objekto modelio dalimi. Laikui bėgant įrodymams kaupiantis, sistema nustato naujas grėsmes, kai pasiekiama reikšmingumo riba. Ši slenkstinė vertė yra dinamiška ir sumaniai koreguojama atsižvelgiant į grėsmės rizikos lygį ir kitus veiksnius. Po to grėsmė pasirodo žiniatinklio sąsajos informaciniame skydelyje ir perkeliama į kitą lygį.
3 lygis. Santykių modeliavimas
Santykių modeliavimo tikslas – apibendrinti ankstesniuose lygiuose gautus rezultatus iš globalios perspektyvos, atsižvelgiant ne tik į lokalų, bet ir į pasaulinį atitinkamo incidento kontekstą. Šiame etape galite nustatyti, kiek organizacijų susidūrė su tokia ataka, kad suprastumėte, ar ji buvo nukreipta būtent į jus, ar yra pasaulinės kampanijos dalis, o jūs ką tik buvote sugauti.
Incidentai patvirtinami arba atskleidžiami. Patvirtintas incidentas reiškia nuo 99 iki 100 % pasitikėjimo, nes susiję metodai ir įrankiai anksčiau buvo stebimi veikiant didesniu (pasauliniu) mastu. Aptikti incidentai yra unikalūs jums ir yra labai tikslingos kampanijos dalis. Ankstesni išvados dalijamasi žinomais veiksmais, taip sutaupant laiko ir išteklių. Jie pateikiami su tyrimo įrankiais, kurių jums reikia, kad suprastumėte, kas jus užpuolė ir kokiu mastu kampanija buvo skirta jūsų skaitmeniniam verslui. Kaip galite įsivaizduoti, patvirtintų incidentų skaičius gerokai viršija aptiktų incidentų skaičių dėl paprastos priežasties – patvirtinti incidentai užpuolikams nereikalauja didelių išlaidų, o aptikti incidentai kainuoja.
brangūs, nes jie turi būti nauji ir pritaikyti individualiems poreikiams. Sukūrus galimybę identifikuoti patvirtintus incidentus, žaidimo ekonomika pagaliau pasikeitė gynėjų naudai, suteikdama jiems aiškų pranašumą.
Daugiapakopis neuroninio ryšio sistemos mokymas remiantis ETA
Pasaulinis rizikos žemėlapis
Pasaulinis rizikos žemėlapis sukuriamas analizuojant mašininio mokymosi algoritmus vienam didžiausių tokio pobūdžio duomenų rinkinių pramonėje. Jame pateikiama išsami statistika apie elgseną, susijusią su serveriais internete, net jei jie nežinomi. Tokie serveriai yra susiję su atakomis ir ateityje gali būti įtraukti arba naudojami kaip atakos dalis. Tai ne „juodasis sąrašas“, o išsamus aptariamo serverio vaizdas saugumo požiūriu. Ši kontekstinė informacija apie šių serverių veiklą leidžia „Stealthwatch“ mašininio mokymosi detektoriams ir klasifikatoriams tiksliai numatyti rizikos, susijusios su ryšiais su tokiais serveriais, lygį.
Galite peržiūrėti turimas korteles .
Pasaulio žemėlapis su 460 milijonų IP adresų
Dabar tinklas mokosi ir stoja, kad apsaugotų jūsų tinklą.
Pagaliau rasta panacėja?
Deja, ne. Iš patirties dirbant su sistema galiu pasakyti, kad yra 2 globalios problemos.
1 problema. Kaina. Visas tinklas yra įdiegtas Cisco sistemoje. Tai ir gerai, ir blogai. Geroji pusė yra ta, kad jums nereikia vargti ir įdiegti daugybę kištukų, tokių kaip D-Link, MikroTik ir kt. Neigiama yra didžiulė sistemos kaina. Atsižvelgiant į Rusijos verslo ekonominę būklę, šiuo metu šį stebuklą sau gali leisti tik turtingas didelės įmonės ar banko savininkas.
2 problema: mokymas. Straipsnyje nerašiau neuroninio tinklo mokymo laikotarpio, bet ne todėl, kad jo nėra, o todėl, kad jis visą laiką mokosi ir negalime numatyti, kada jis išmoks. Žinoma, yra matematinės statistikos įrankių (paimkite tą pačią Pirsono konvergencijos kriterijaus formuluotę), tačiau tai yra pusė matų. Mes gauname srauto filtravimo tikimybę ir net tada tik su sąlyga, kad ataka jau buvo įvaldyta ir žinoma.
Nepaisant šių 2 problemų, mes padarėme didelį šuolį plėtojant informacijos saugumą apskritai ir ypač tinklo apsaugą. Šis faktas gali paskatinti tyrinėti tinklo technologijas ir neuroninius tinklus, kurie dabar yra labai perspektyvi kryptis.
Šaltinis: www.habr.com