Шифрийг тайлахгүйгээр замын хөдөлгөөнд дүн шинжилгээ хийх систем. Энэ аргыг энгийнээр "машины сургалт" гэж нэрлэдэг. Хэрэв тусгай ангилагчийн оролт руу маш их хэмжээний янз бүрийн траффик орж ирвэл систем нь маш өндөр магадлалтайгаар шифрлэгдсэн траффик доторх хортой кодын үйлдлийг илрүүлдэг болох нь тогтоогдсон.
Онлайн аюул заналхийлэл өөрчлөгдөж, илүү ухаалаг болсон. Сүүлийн үед довтолгоо, хамгаалалт гэсэн ойлголт өөрчлөгдсөн. Сүлжээнд болж буй үйл явдлын тоо мэдэгдэхүйц нэмэгдсэн. Халдлагууд улам боловсронгуй болж, хакерууд илүү өргөн хүрээтэй болсон.
Cisco-ийн статистик мэдээгээр, сүүлийн нэг жилийн хугацаанд халдагчид өөрсдийн үйл ажиллагаандаа ашигладаг хортой программынхаа тоог гурав дахин нэмэгдүүлж, эс тэгвээс тэдгээрийг нуухын тулд шифрлэв. "Зөв" шифрлэлтийн алгоритмыг эвдэх боломжгүй гэдгийг онолоос мэддэг. Шифрлэгдсэн траффик дотор юу нуугдаж байгааг ойлгохын тулд түлхүүрийг нь мэдэж байж кодыг нь тайлах, эсвэл янз бүрийн заль мэх ашиглан шифрийг тайлах, эсвэл шууд хакердах, эсвэл криптографийн протоколд ямар нэгэн эмзэг байдлыг ашиглах шаардлагатай.
Бидний цаг үеийн сүлжээний аюулын зураг
Машины сургалт
Технологийг биечлэн мэдэж аваарай! Машины сургалтанд суурилсан шифрийг тайлах технологи өөрөө хэрхэн ажилладаг талаар ярихаасаа өмнө мэдрэлийн сүлжээний технологи хэрхэн ажилладагийг ойлгох шаардлагатай.
Машины сургалт нь хиймэл оюун ухааны өргөн хүрээний дэд хэсэг бөгөөд суралцах боломжтой алгоритмуудыг бүтээх аргуудыг судалдаг. Энэхүү шинжлэх ухаан нь компьютерийг "сургах" математик загварыг бий болгоход чиглэгддэг. Сурах зорилго нь аливаа зүйлийг урьдчилан таамаглах явдал юм. Хүний ойлголтоор бид энэ үйл явцыг үг гэж нэрлэдэг "мэргэн ухаан". Мэргэн ухаан нь нэлээд удаан амьдарсан хүмүүст илэрдэг (2 настай хүүхэд ухаалаг байж чадахгүй). Ахмад нөхдөөс зөвлөгөө авахдаа бид үйл явдлын талаар зарим мэдээлэл (оролтын өгөгдөл) өгч, тэднээс тусламж хүсдэг. Тэд эргээд таны асуудалтай (мэдлэгийн суурь) ямар нэгэн байдлаар холбоотой амьдралын бүх нөхцөл байдлыг санаж, энэ мэдлэг (өгөгдөл) дээр үндэслэн бидэнд нэг төрлийн таамаглал (зөвлөгөө) өгдөг. Зөвлөгөө өгч буй хүн юу болохыг тодорхой мэдэхгүй, зөвхөн таамагладаг учраас ийм төрлийн зөвлөгөөг урьдчилан таамаглах гэж нэрлэж эхэлсэн. Хүн зөв ч байж болно, буруу ч байж болно гэдгийг амьдралын туршлага харуулж байна.
Мэдрэлийн сүлжээг салаалсан алгоритмтай (if-else) харьцуулж болохгүй. Эдгээр нь өөр өөр зүйлүүд бөгөөд гол ялгаанууд байдаг. Салбарлах алгоритм нь юу хийх талаар тодорхой "ойлголт"-той байдаг. Би жишээгээр харуулах болно.
Даалгавар. Машины тоормосны зайг марк, үйлдвэрлэсэн он дээр үндэслэн тодорхойлно.
Салбарлах алгоритмын жишээ. 1 онд үйлдвэрлэгдсэн 2012-р машин бол тоормосны зай нь 10 метр, үгүй бол 2-р маркийн машин 2011 онд гарсан гэх мэт.
Мэдрэлийн сүлжээний жишээ. Бид сүүлийн 20 жилийн хугацаанд автомашины тоормосны зайн мэдээллийг цуглуулдаг. Үйлдвэрлэл, оноор нь бид "үйлдвэрлэсэн он-тоормосны зай" гэсэн маягтын хүснэгтийг гаргадаг. Бид энэ хүснэгтийг мэдрэлийн сүлжээнд өгч, зааж эхэлдэг. Сургалтыг дараах байдлаар явуулдаг: бид өгөгдлийг мэдрэлийн сүлжээнд өгдөг, гэхдээ тоормосны замгүй. Нейрон нь түүнд ачаалагдсан хүснэгтэд үндэслэн тоормосны зай ямар байхыг урьдчилан таамаглахыг оролддог. Ямар нэг зүйлийг урьдчилан таамаглаж, хэрэглэгчээс "Миний зөв үү?" Асуултын өмнө тэр дөрөв дэх багана буюу таамаглах багана үүсгэдэг. Хэрэв түүний зөв бол дөрөв дэх баганад 1, буруу бол 0 гэж бичнэ. Мэдрэлийн сүлжээ дараагийн үйл явдал руу шилждэг (алдаа гаргасан ч гэсэн). Сүлжээ ингэж сурдаг бөгөөд сургалт дууссаны дараа (тодорхой нэг нийлэх шалгуурт хүрсэн) бид сонирхож буй машиныхаа мэдээллийг илгээж, эцэст нь хариулт авдаг.
Конвергенцийн шалгуурын талаархи асуултыг арилгахын тулд би энэ нь статистикийн математикийн томъёолол гэдгийг тайлбарлах болно. Хоёр өөр нэгдэх томъёоны гайхалтай жишээ. Улаан - хоёртын нэгдэл, цэнхэр - хэвийн нэгдэл.
Бином ба хэвийн магадлалын тархалт
Илүү ойлгомжтой болгохын тулд “Үлэг гүрвэлтэй уулзах магадлал хэд вэ?” гэсэн асуултыг асуу. Энд 2 боломжит хариулт байна. Сонголт 1 - маш жижиг (цэнхэр график). Сонголт 2 - уулзалт эсвэл үгүй (улаан график).
Мэдээжийн хэрэг, компьютер бол хүн биш, өөрөөр сурдаг. Төмөр морины бэлтгэлийн 2 төрөл байдаг. тохиолдол дээр суурилсан сургалт и дедуктив сургалт.
Урьдчилсан байдлаар заах нь математикийн хуулиудыг ашиглан заах арга юм. Математикчид статистикийн хүснэгтүүдийг цуглуулж, дүгнэлт гаргаж, үр дүнг мэдрэлийн сүлжээнд ачаалдаг - тооцоолох томъёо.
Дедуктив сургалт - суралцах нь бүхэлдээ мэдрэлийн эсэд (мэдээлэл цуглуулахаас эхлээд дүн шинжилгээ хийх хүртэл) явагддаг. Энд хүснэгтийг томьёогүйгээр, харин статистикийн хамт байгуулав.
Технологийн талаархи ерөнхий тойм нь өөр хэдэн арван нийтлэлийг авах болно. Одоохондоо энэ нь бидний ерөнхий ойлголтод хангалттай байх болно.
Нейропластик чанар
Биологид ийм ойлголт байдаг - нейропластик. Нейропластик чанар нь мэдрэлийн эсүүд (тархины эсүүд) "нөхцөл байдлын дагуу" ажиллах чадвар юм. Жишээлбэл, хараагүй болсон хүн дуу чимээ, үнэрийг сонсож, эд зүйлийг илүү сайн мэдэрдэг. Энэ нь алсын харааг хариуцдаг тархины хэсэг (мэдрэлийн эсийн хэсэг) ажлаа бусад функцэд дахин хуваарилдагтай холбоотой юм.
Амьдрал дахь нейропластик шинж чанарын тод жишээ бол BrainPort чихэр юм.
2009 онд Мадисон дахь Висконсины их сургууль "хэлний дэлгэц"-ийн санааг боловсруулсан шинэ төхөөрөмжийг гаргасан тухай зарласан бөгөөд үүнийг BrainPort гэж нэрлэжээ. BrainPort нь дараах алгоритмын дагуу ажилладаг: камераас видео дохиог томруулах, тод байдал болон бусад зургийн параметрүүдийг хянадаг процессор руу илгээдэг. Мөн дижитал дохиог цахилгаан импульс болгон хувиргаж, нүдний торлог бүрхэвчийн үүргийг гүйцэтгэдэг.
Нүдний шил, камертай BrainPort чихэр
BrainPort ажил дээрээ
Компьютерийн хувьд ч мөн адил. Хэрэв мэдрэлийн сүлжээ үйл явцын өөрчлөлтийг мэдэрвэл түүнд дасан зохицдог. Энэ нь бусад алгоритмтай харьцуулахад мэдрэлийн сүлжээний гол давуу тал болох автономит байдал юм. Нэг төрлийн хүн чанар.
Шифрлэгдсэн траффик аналитик
Шифрлэгдсэн Траффик Аналитик нь Stealthwatch системийн нэг хэсэг юм. Stealthwatch бол одоо байгаа сүлжээний дэд бүтцээс байгууллагын телеметрийн өгөгдлийг ашигладаг Cisco-ийн аюулгүй байдлын хяналт, аналитик шийдлүүдэд нэвтэрсэн явдал юм.
Stealthwatch Enterprise нь Урсгалын хурдны лиценз, Урсгал цуглуулагч, Удирдлагын консол, Урсгал мэдрэгч хэрэгсэл дээр суурилдаг.
Cisco Stealthwatch интерфэйс
Илүү их урсгалыг шифрлэж эхэлсэнтэй холбоотойгоор шифрлэлтийн асуудал маш хурц болсон. Өмнө нь зөвхөн код шифрлэгдсэн (ихэнхдээ) байсан бол одоо бүх траффик шифрлэгдсэн бөгөөд "цэвэр" өгөгдлийг вирусаас салгах нь илүү хэцүү болсон. Үүний тод жишээ бол WannaCry бөгөөд Tor программыг ашиглан онлайн байгаа гэдгээ нуух болно.
Сүлжээ дээрх траффикийн шифрлэлтийн өсөлтийн дүрслэл
Макро эдийн засаг дахь шифрлэлт
Encrypted Traffic Analytics (ETA) систем нь шифрлэгдсэн траффиктай код тайлахгүйгээр ажиллахад зайлшгүй шаардлагатай. Халдлага үйлдэгчид ухаалаг бөгөөд криптод тэсвэртэй шифрлэлтийн алгоритмуудыг ашигладаг бөгөөд тэдгээрийг эвдэх нь зөвхөн асуудал төдийгүй байгууллагуудад маш үнэтэй байдаг.
Систем нь дараах байдлаар ажилладаг. Зарим ачаалал компани руу ирдэг. Энэ нь TLS (тээврийн давхаргын аюулгүй байдал) -д багтдаг. Траффик шифрлэгдсэн гэж бодъё. Ямар төрлийн холболт хийсэн талаар хэд хэдэн асуултад хариулахыг хичээж байна.
Шифрлэгдсэн Траффик Аналитик (ETA) систем хэрхэн ажилладаг
Эдгээр асуултад хариулахын тулд бид энэ системд машин сургалтыг ашигладаг. Cisco-оос судалгаа авч, эдгээр судалгаан дээр үндэслэн хортой болон "сайн" урсгал гэсэн 2 үр дүнгээс хүснэгтийг үүсгэсэн. Мэдээжийн хэрэг, яг одоогийн байдлаар системд ямар төрлийн траффик орж ирснийг бид мэдэхгүй ч дэлхийн тавцан дахь өгөгдлийг ашиглан компани доторх болон гаднах замын хөдөлгөөний түүхийг хянах боломжтой. Энэ үе шатны төгсгөлд бид өгөгдөл бүхий асар том хүснэгтийг авна.
Судалгааны үр дүнд үндэслэн онцлог шинж чанаруудыг тодорхойлсон - математик хэлбэрээр бичиж болох тодорхой дүрмүүд. Эдгээр дүрмүүд нь өөр өөр шалгуураас хамаарч өөр өөр байх болно - шилжүүлсэн файлын хэмжээ, холболтын төрөл, энэ траффик ирдэг улс гэх мэт. Ажлын үр дүнд асар том ширээ нь олон тооны томъёо болж хувирав. Тэдгээрийн тоо цөөхөн боловч энэ нь тав тухтай ажиллахад хангалтгүй юм.
Дараа нь машин сургалтын технологийг ашигладаг - нэгдэх томъёоны нэгдэл ба конвергенцийн үр дүнд үндэслэн бид гох - шилжүүлэгчийг авдаг бөгөөд өгөгдөл гарах үед бид өргөгдсөн эсвэл доошлуулсан байрлалд шилжүүлэгч (туг) авдаг.
Үүний үр дүнд замын хөдөлгөөний 99% -ийг хамарсан триггерүүдийн багцыг олж авах болно.
ETA дахь замын хөдөлгөөний шалгалтын үе шатууд
Ажлын үр дүнд өөр нэг асуудал шийдэгддэг - дотроос халдлага. Дунд хэсэгт байгаа хүмүүс замын хөдөлгөөнийг гараар шүүдэг байх шаардлагагүй болсон (энэ үед би өөрийгөө живж байна). Нэгдүгээрт, та чадварлаг системийн администраторт их мөнгө зарцуулах шаардлагагүй болсон (би өөрийгөө живүүлсээр байна). Хоёрдугаарт, дотроос нь хакердах аюул байхгүй (ядаж хэсэгчлэн).
Хоцрогдсон хүн дундын үзэл баримтлал
Одоо систем нь юунд үндэслэсэн болохыг олж мэдье.
Систем нь 4 харилцааны протокол дээр ажилладаг: TCP/IP – Интернэт өгөгдөл дамжуулах протокол, DNS – домэйн нэрийн сервер, TLS – тээврийн давхаргын аюулгүй байдлын протокол, SPLT (SpaceWire физик давхаргын шалгагч) – физик харилцааны түвшний шалгагч.
ETA-тай ажилладаг протоколууд
Харьцуулалт нь өгөгдлийг харьцуулах замаар хийгддэг. TCP/IP протоколуудыг ашиглан сайтуудын нэр хүндийг шалгадаг (зочилсон түүх, сайтыг үүсгэсэн зорилго гэх мэт), DNS протоколын ачаар бид "муу" сайтын хаягийг устгах боломжтой. TLS протокол нь тухайн сайтын хурууны хээгээр ажилладаг бөгөөд тухайн сайтыг компьютерийн яаралтай тусламжийн багийн эсрэг баталгаажуулдаг (гэрчилгээ). Холболтыг шалгах сүүлийн алхам бол физик түвшинд шалгах явдал юм. Энэ үе шатны нарийн ширийнийг заагаагүй боловч цэг нь дараах байдалтай байна: осциллограф суурилуулалт дээр өгөгдөл дамжуулах муруйн синус ба косинусын муруйг шалгах, i.e. Физик давхарга дээрх хүсэлтийн бүтцийн ачаар бид холболтын зорилгыг тодорхойлдог.
Системийн үйл ажиллагааны үр дүнд бид шифрлэгдсэн урсгалаас мэдээлэл авах боломжтой. Пакетуудыг шалгаснаар бид пакет доторх шифрлэгдээгүй талбаруудаас аль болох их мэдээллийг уншиж чадна. Пакетийг физик давхаргад шалгаснаар бид багцын шинж чанарыг (хэсэгчилсэн эсвэл бүрэн) олж авдаг. Мөн сайтуудын нэр хүндийн талаар бүү мартаарай. Хэрэв хүсэлт нь зарим .onion эх сурвалжаас ирсэн бол та үүнд итгэх ёсгүй. Энэ төрлийн өгөгдөлтэй ажиллахад хялбар болгох үүднээс эрсдэлийн зураглалыг хийсэн.
ETA-ийн ажлын үр дүн
Бүх зүйл зүгээр юм шиг байна, гэхдээ сүлжээний байршлын талаар ярилцъя.
ETA-ийн биет хэрэгжилт
Эндээс хэд хэдэн нюанс, нарийн мэдрэмжүүд гарч ирдэг. Нэгдүгээрт, ийм төрлийн бүтээлийг бий болгоход
өндөр түвшний программ хангамж бүхий сүлжээнд мэдээлэл цуглуулах шаардлагатай. Мэдээллийг гараар бүрэн цуглуулах
зэрлэг, гэхдээ хариу үйлдлийн системийг хэрэгжүүлэх нь аль хэдийн илүү сонирхолтой юм. Хоёрдугаарт, өгөгдөл
маш их байх ёстой бөгөөд энэ нь суурилуулсан сүлжээний мэдрэгчүүд ажиллах ёстой гэсэн үг юм
зөвхөн бие даасан байдлаар төдийгүй нарийн тохируулсан горимд байгаа нь хэд хэдэн хүндрэл үүсгэдэг.
Мэдрэгч ба Stealthwatch систем
Мэдрэгч суурилуулах нь нэг хэрэг, гэхдээ үүнийг тохируулах нь огт өөр ажил юм. Мэдрэгчийг тохируулахын тулд дараах топологийн дагуу ажилладаг цогцолбор байдаг - ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = Cisco Cloud Services Router; WLC = Cisco Wireless LAN Controller; IE = Cisco Industrial Ethernet Switch; ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defence Solution; WSA = Web Security Appliance; ISE = Identity Services Engine
Аливаа телеметрийн өгөгдлийг харгалзан иж бүрэн хяналт тавих
Сүлжээний администраторууд өмнөх догол мөр дэх "Cisco" гэсэн үгсийн тооноос хэм алдагдалыг мэдэрч эхэлдэг. Энэ гайхамшгийн үнэ тийм ч бага биш, гэхдээ өнөөдрийн бидний ярьж байгаа зүйл бол энэ биш ...
Хакерын зан үйлийг дараах байдлаар загварчлах болно. Stealthwatch нь сүлжээнд байгаа төхөөрөмж бүрийн үйл ажиллагааг сайтар хянаж, хэвийн үйл ажиллагааны хэв маягийг бий болгох чадвартай. Нэмж дурдахад, энэ шийдэл нь мэдэгдэж буй зохисгүй зан үйлийн талаар гүн гүнзгий ойлголт өгдөг. Энэхүү шийдэл нь сканнердах, хост дохиоллын хүрээ, харгис хүчээр нэвтрэх, сэжигтэй өгөгдөл барих, сэжигтэй өгөгдөл алдагдсан гэх мэт янз бүрийн төрлийн хөдөлгөөний зан үйлийг шийдвэрлэх 100 орчим өөр өөр шинжилгээний алгоритм эсвэл эвристикийг ашигладаг. Бүртгэгдсэн аюулгүй байдлын үйл явдлууд нь өндөр түвшний логик дохиоллын ангилалд багтдаг. Аюулгүй байдлын зарим үйл явдал нь өөрөө сэрүүлгийг үүсгэж болно. Тиймээс систем нь олон тооны тусгаарлагдсан хэвийн бус тохиолдлуудыг хооронд нь холбож, довтолгооны боломжит төрлийг тодорхойлох, түүнчлэн тодорхой төхөөрөмж, хэрэглэгчтэй холбох боломжтой (Зураг 2). Ирээдүйд тохиолдсон явдлыг цаг хугацааны явцад судалж, холбогдох телеметрийн өгөгдлийг харгалзан үзэх боломжтой. Энэ нь хамгийн сайндаа контекст мэдээллийг бүрдүүлдэг. Юу болсныг ойлгохын тулд өвчтөнийг шалгаж буй эмч нар шинж тэмдгийг тусад нь авч үздэггүй. Тэд онош тавихын тулд том дүр зургийг хардаг. Үүний нэгэн адил Stealthwatch нь сүлжээн дэх хэвийн бус үйл ажиллагаа бүрийг авч, контекстэд хамаарах дохиолол илгээхийн тулд цогцоор нь шалгадаг бөгөөд ингэснээр аюулгүй байдлын мэргэжилтнүүдэд эрсдэлийг эрэмбэлэхэд тусалдаг.
Зан үйлийн загварчлалыг ашиглан гажиг илрүүлэх
Сүлжээний физик байршуулалт дараах байдалтай байна.
Салбарын сүлжээг байршуулах сонголт (хялбаршуулсан)
Салбарын сүлжээг байршуулах сонголт
Сүлжээг байрлуулсан боловч нейроны тухай асуулт нээлттэй хэвээр байна. Тэд мэдээлэл дамжуулах сүлжээг зохион байгуулж, босгон дээр мэдрэгч суурилуулж, мэдээлэл цуглуулах системийг эхлүүлсэн боловч нейрон энэ асуудалд оролцоогүй. Баяртай.
Олон давхаргат мэдрэлийн сүлжээ
Систем нь хэрэглэгчийн болон төхөөрөмжийн үйл ажиллагаанд дүн шинжилгээ хийж, хортой халдвар, команд болон удирдлагын серверүүдтэй харилцах, мэдээлэл алдагдсан, байгууллагын дэд бүтцэд ажиллаж байгаа хүсээгүй программуудыг илрүүлдэг. Хиймэл оюун ухаан, машин сургалт, математик статистикийн аргуудын хослол нь сүлжээний хэвийн үйл ажиллагааг бие даан сурахад тусалдаг бөгөөд ингэснээр хорлонтой үйл ажиллагааг илрүүлэхэд тусалдаг өгөгдөл боловсруулах олон давхарга байдаг.
Шифрлэгдсэн траффик зэрэг өргөтгөсөн сүлжээний бүх хэсгээс телеметрийн өгөгдлийг цуглуулдаг сүлжээний аюулгүй байдлын шинжилгээний хоолой нь Stealthwatch-ийн өвөрмөц онцлог юм. Энэ нь "гажиг" гэж юу болох тухай ойлголтыг аажмаар хөгжүүлж, дараа нь "аюул заналхийллийн үйл ажиллагааны" бодит бие даасан элементүүдийг ангилж, эцэст нь төхөөрөмж эсвэл хэрэглэгч үнэхээр эвдэрсэн эсэх талаар эцсийн дүгнэлт гаргадаг. Хөрөнгө эвдэрсэн эсэх талаар эцсийн шийдвэр гаргах нотлох баримтыг бүрдүүлдэг жижиг хэсгүүдийг нэгтгэх чадвар нь маш нарийн шинжилгээ, уялдаа холбоотой байдаг.
Энэ чадвар нь маш чухал бөгөөд учир нь ердийн бизнес өдөр бүр асар олон дохио хүлээн авах боломжтой бөгөөд аюулгүй байдлын мэргэжилтнүүдийн нөөц хязгаарлагдмал байдаг тул тус бүрийг судлах боломжгүй юм. Машин сургалтын модуль нь эгзэгтэй тохиолдлуудыг найдвартай тодорхойлохын тулд асар их хэмжээний мэдээллийг бодит цаг хугацаанд боловсруулдаг бөгөөд хурдан шийдвэрлэх арга хэмжээг тодорхой зааж өгөх чадвартай.
Stealthwatch-ийн ашигладаг олон тооны машин сурах арга техникийг нарийвчлан авч үзье. Stealthwatch-ийн машин сургалтын системд тохиолдсон тохиолдлыг илгээх үед хяналттай болон хяналтгүй машин сургалтын аргуудыг хослуулан ашигладаг аюулгүй байдлын шинжилгээний юүлүүрээр дамждаг.
Олон түвшний машин сурах чадвар
1-р түвшин. Аномали илрүүлэх ба итгэлцлийн загварчлал
Энэ түвшинд статистикийн гажиг илрүүлэгч ашиглан замын хөдөлгөөний 99%-ийг устгадаг. Эдгээр мэдрэгчүүд хамтдаа юу хэвийн, юу нь хэвийн бус болохыг тодорхойлох цогц загварыг бүрдүүлдэг. Гэсэн хэдий ч хэвийн бус байдал нь хортой байх албагүй. Таны сүлжээнд болж буй ихэнх зүйл нь аюул заналхийлэлтэй ямар ч холбоогүй бөгөөд энэ нь хачирхалтай юм. Ийм үйл явцыг заналхийлсэн зан үйлийг харгалзахгүйгээр ангилах нь чухал юм. Ийм учраас тайлбарлаж, итгэж болох хачирхалтай зан үйлийг олж авахын тулд ийм детекторуудын үр дүнг цаашид шинжилдэг. Эцсийн эцэст, хамгийн чухал утаснууд болон хүсэлтүүдийн багахан хэсэг нь үүнийг 2, 3-р давхаргад хүргэдэг. Ийм машин сургалтын техникийг ашиглахгүй бол дохиог дуу чимээнээс салгах үйл ажиллагааны зардал хэт өндөр байх болно.
Аномали илрүүлэх. Аномали илрүүлэх эхний алхам нь статистикийн машин сургалтын техникийг ашиглан статистикийн хэвийн урсгалыг хэвийн бус урсгалаас салгах явдал юм. 70 гаруй бие даасан детектор нь Stealthwatch нь таны сүлжээний периметрээр дамжин өнгөрч буй траффик дээр цуглуулдаг телеметрийн өгөгдлийг боловсруулдаг бөгөөд хэрэв байгаа бол Домэйн Нэрийн Системийн (DNS) дотоод урсгалыг прокси серверийн өгөгдлөөс тусгаарладаг. Хүсэлт бүрийг 70 гаруй детектор боловсруулж, илрүүлэгч бүр өөрийн статистикийн алгоритмыг ашиглан илрүүлсэн гажигийн үнэлгээг бүрдүүлдэг. Эдгээр оноог нэгтгэж, асуулга бүрийн нэг оноог гаргахын тулд статистикийн олон аргыг ашигладаг. Дараа нь энэ нийлбэр оноог хэвийн болон хэвийн бус урсгалыг ялгахад ашигладаг.
Итгэлцлийг загварчлах. Дараа нь ижил төстэй хүсэлтүүдийг бүлэглэж, ийм бүлгийн нийт гажиг оноог урт хугацааны дундажаар тодорхойлно. Цаг хугацаа өнгөрөхөд урт хугацааны дундажийг тодорхойлохын тулд илүү олон асуулгад дүн шинжилгээ хийдэг бөгөөд ингэснээр худал эерэг ба хуурамч сөрөг үзүүлэлтүүдийг бууруулдаг. Итгэлцлийн загварчлалын үр дүнг дараагийн боловсруулалтын түвшинд шилжихийн тулд гажиг оноо нь динамикаар тодорхойлсон босгоос хэтэрсэн урсгалын дэд багцыг сонгоход ашигладаг.
2-р түвшин. Үйл явдлын ангилал ба объектын загварчлал
Энэ түвшинд өмнөх үе шатанд олж авсан үр дүнг ангилж, тодорхой хор хөнөөлтэй үйл явдлуудад хуваарилдаг. Үйл явдлыг 90%-иас дээш нарийвчлалтай байлгахын тулд машин сургалтын ангилагчдын өгсөн үнэ цэнэд үндэслэн ангилдаг. Тэдний дунд:
- Нейман-Пирсоны лемма дээр суурилсан шугаман загварууд (өгүүллийн эхэнд байгаа графикаас хэвийн тархалтын хууль)
- олон хувьсах сургалтыг ашиглан вектор машинуудыг дэмжих
- мэдрэлийн сүлжээ ба санамсаргүй ойн алгоритм.
Эдгээр тусгаарлагдсан аюулгүй байдлын үйл явдлууд нь цаг хугацааны явцад нэг төгсгөлийн цэгтэй холбоотой байдаг. Энэ үе шатанд аюул заналын тодорхойлолтыг бий болгож, үүний үндсэн дээр холбогдох халдагч тодорхой үр дүнд хэрхэн хүрч чадсан тухай бүрэн дүр зургийг бий болгодог.
Үйл явдлын ангилал. Өмнөх түвшний статистикийн хувьд хэвийн бус дэд олонлогийг ангилагч ашиглан 100 ба түүнээс дээш ангилалд хуваарилдаг. Ихэнх ангилагч нь дэлхийн болон орон нутгийн хэмжээнд хувь хүний зан байдал, бүлгийн харилцаа, зан төлөвт суурилдаг бол бусад нь нэлээд тодорхой байж болно. Жишээлбэл, ангилагч нь C&C урсгал, сэжигтэй өргөтгөл эсвэл зөвшөөрөлгүй програм хангамжийн шинэчлэлтийг зааж болно. Энэ үе шатны үр дүнд үндэслэн аюулгүй байдлын системд тодорхой ангилалд хуваагдсан хэвийн бус үйл явдлын багц үүсдэг.
Объект загварчлал. Хэрэв тухайн объект хортой гэсэн таамаглалыг батлах нотлох баримтын хэмжээ материаллаг байдлын босго хэмжээнээс давсан бол аюул заналхийллийг тодорхойлно. Аюул заналхийллийг тодорхойлоход нөлөөлсөн холбогдох үйл явдлууд нь ийм аюул заналхийлэлтэй холбоотой бөгөөд объектын салангид урт хугацааны загварт багтдаг. Нотлох баримтууд цаг хугацааны явцад хуримтлагддаг тул материаллаг байдлын босгонд хүрэх үед систем нь шинэ аюулыг тодорхойлдог. Энэ босго утга нь динамик бөгөөд аюулын эрсдэл болон бусад хүчин зүйлсийн түвшинд үндэслэн ухаалгаар тохируулагддаг. Үүний дараа аюул вэб интерфэйсийн мэдээллийн самбар дээр гарч ирэх бөгөөд дараагийн түвшинд шилжинэ.
3-р түвшин. Харилцааны загварчлал
Харилцааны загварчлалын зорилго нь өмнөх түвшинд олж авсан үр дүнг дэлхийн өнцөг булан бүрээс нэгтгэж, холбогдох үйл явдлын орон нутгийн төдийгүй дэлхийн нөхцөл байдлыг харгалзан үзэх явдал юм. Яг энэ үе шатанд та хэчнээн байгууллага ийм халдлагад өртсөнийг тодорхойлох боломжтой бөгөөд энэ нь таныг тусгайлан чиглүүлсэн эсвэл дэлхийн хэмжээний кампанит ажлын нэг хэсэг мөн үү гэдгийг ойлгохын тулд та дөнгөж баригдсан.
Үйл явдал нь батлагдсан эсвэл илэрсэн. Баталгаажсан тохиолдол нь 99-100% итгэлтэй байна гэсэн үг, учир нь холбогдох арга техник, хэрэгслүүд өмнө нь илүү өргөн хүрээнд (дэлхий даяар) үйл ажиллагаагаа явуулж байсан. Илэрсэн тохиолдлууд нь зөвхөн танд зориулагдсан бөгөөд маш их зорилтот кампанит ажлын нэг хэсэг юм. Өмнөх олдворуудыг тодорхой арга хэмжээний дагуу хуваалцаж, хариу арга хэмжээ авахад таны цаг, нөөцийг хэмнэдэг. Тэд танд хэн дайрсан, кампанит ажил таны дижитал бизнест хэр чиглэж байсныг ойлгоход хэрэгтэй мөрдөн байцаалтын хэрэгслүүдийн хамт ирдэг. Таны төсөөлж байгаачлан батлагдсан тохиолдлуудын тоо нь илрүүлсэн тохиолдлын тооноос хамаагүй давж байна, учир нь батлагдсан тохиолдлууд халдагчдад тийм ч их зардал гарахгүй, харин илрүүлсэн тохиолдлуудад зардал их гардаг.
Тэд шинэ, өөрчилсөн байх ёстой учраас үнэтэй. Батлагдсан тохиолдлуудыг тодорхойлох чадварыг бий болгосноор тоглоомын эдийн засаг эцэст нь хамгаалагчдын талд шилжиж, тэдэнд тодорхой давуу талыг олгосон.
ETA дээр суурилсан мэдрэлийн холболтын системийн олон түвшний сургалт
Дэлхийн эрсдэлийн газрын зураг
Дэлхийн эрсдэлийн газрын зургийг машин сургалтын алгоритмаар тухайн салбарын хамгийн том мэдээллийн багцын нэгэнд ашигласан дүн шинжилгээгээр бүтээдэг. Энэ нь интернет дэх серверүүд нь үл мэдэгдэх байсан ч тэдний зан байдлын талаархи өргөн хүрээний статистик мэдээллийг өгдөг. Ийм серверүүд нь халдлагатай холбоотой бөгөөд ирээдүйд халдлагын нэг хэсэг болгон ашиглаж болно. Энэ бол "хар жагсаалт" биш, харин аюулгүй байдлын үүднээс тухайн серверийн иж бүрэн дүр зураг юм. Эдгээр серверүүдийн үйл ажиллагааны талаарх энэхүү контекст мэдээлэл нь Stealthwatch-ийн машин сургалтын илрүүлэгч болон ангилагчдад ийм серверүүдтэй харилцахтай холбоотой эрсдлийн түвшинг нарийн урьдчилан таамаглах боломжийг олгодог.
Та боломжтой картуудыг үзэх боломжтой .
460 сая IP хаягийг харуулсан дэлхийн газрын зураг
Одоо сүлжээ суралцаж, таны сүлжээг хамгаалахын тулд зогсож байна.
Эцэст нь эм олдсон уу?
Харамсалтай нь, ямар ч. Системтэй ажиллаж байсан туршлагаас харахад дэлхийн хэмжээнд 2 асуудал байгааг би хэлж чадна.
Асуудал 1. Үнэ. Сүлжээг бүхэлд нь Cisco систем дээр байрлуулсан. Энэ бол сайн, муу аль аль нь юм. Сайн тал нь та D-Link, MikroTik гэх мэт олон залгуурыг суулгах шаардлагагүй юм. Сул тал нь системийн асар их зардал юм. Оросын бизнесийн эдийн засгийн байдлыг харгалзан үзвэл, одоогийн байдлаар зөвхөн том компани эсвэл банкны чинээлэг эзэн л ийм гайхамшгийг төлж чадна.
Асуудал 2: Сургалт. Би энэ нийтлэлд мэдрэлийн сүлжээг сургах хугацааг бичээгүй, гэхдээ энэ нь байхгүй учраас биш, харин энэ нь байнга суралцаж байгаа тул хэзээ суралцахыг урьдчилан таамаглах боломжгүй юм. Мэдээжийн хэрэг, математикийн статистикийн хэрэгслүүд байдаг (Пирсоны нэгдэх шалгуурын ижил томъёог авна уу), гэхдээ эдгээр нь хагас хэмжигдэхүүн юм. Бид довтолгоог аль хэдийн эзэмшиж, мэдэж байсан тохиолдолд л замын хөдөлгөөнийг шүүх магадлалыг олж авдаг.
Эдгээр 2 бэрхшээлийг үл харгалзан бид ерөнхийдөө мэдээллийн аюулгүй байдал, тэр дундаа сүлжээний хамгаалалтын хөгжилд томоохон үсрэлт хийсэн. Энэ баримт нь одоо маш ирээдүйтэй чиглэл болсон сүлжээний технологи, мэдрэлийн сүлжээг судлах сэдэл болж чадна.
Эх сурвалж: www.habr.com