Sistem untuk menganalisis trafik tanpa menyahsulitnya. Kaedah ini hanya dipanggil "pembelajaran mesin". Ternyata jika sejumlah besar pelbagai trafik disalurkan kepada input pengelas khas, sistem boleh mengesan tindakan kod berniat jahat di dalam trafik yang disulitkan dengan tahap kebarangkalian yang sangat tinggi.
Ancaman dalam talian telah berubah dan menjadi lebih bijak. Baru-baru ini, konsep serangan dan pertahanan telah berubah. Bilangan acara pada rangkaian telah meningkat dengan ketara. Serangan telah menjadi lebih canggih dan penggodam mempunyai jangkauan yang lebih luas.
Menurut statistik Cisco, sepanjang tahun lalu, penyerang telah menggandakan bilangan perisian hasad yang mereka gunakan untuk aktiviti mereka, atau lebih tepat lagi, penyulitan untuk menyembunyikannya. Dari teori diketahui bahawa algoritma penyulitan "betul" tidak boleh dipecahkan. Untuk memahami perkara yang tersembunyi di dalam trafik yang disulitkan, adalah perlu sama ada menyahsulitnya dengan mengetahui kuncinya, atau cuba menyahsulitnya menggunakan pelbagai helah, atau menggodam secara langsung, atau menggunakan beberapa jenis kelemahan dalam protokol kriptografi.
Gambaran ancaman rangkaian pada zaman kita
Pembelajaran mesin
Ketahui teknologi secara peribadi! Sebelum bercakap tentang cara teknologi penyahsulitan berasaskan pembelajaran mesin itu sendiri berfungsi, adalah perlu untuk memahami cara teknologi rangkaian saraf berfungsi.
Pembelajaran Mesin ialah subseksyen luas kecerdasan buatan yang mengkaji kaedah untuk membina algoritma yang boleh dipelajari. Sains ini bertujuan untuk mencipta model matematik untuk "melatih" komputer. Tujuan belajar adalah untuk meramal sesuatu. Dalam pemahaman manusia, kita memanggil proses ini perkataan "kebijaksanaan". Kebijaksanaan menampakkan dirinya pada orang yang telah hidup untuk masa yang agak lama (kanak-kanak berumur 2 tahun tidak boleh menjadi bijak). Apabila berpaling kepada rakan seperjuangan senior untuk mendapatkan nasihat, kami memberi mereka beberapa maklumat tentang acara tersebut (data input) dan meminta bantuan mereka. Mereka, pada gilirannya, mengingati semua situasi dari kehidupan yang entah bagaimana berkaitan dengan masalah anda (asas pengetahuan) dan, berdasarkan pengetahuan (data) ini, memberi kami sejenis ramalan (nasihat). Nasihat jenis ini mula dipanggil ramalan kerana orang yang memberi nasihat tidak tahu pasti apa yang akan berlaku, tetapi hanya menganggap. Pengalaman hidup menunjukkan bahawa seseorang boleh menjadi betul, atau dia boleh salah.
Anda tidak seharusnya membandingkan rangkaian saraf dengan algoritma percabangan (jika-lain). Ini adalah perkara yang berbeza dan terdapat perbezaan utama. Algoritma percabangan mempunyai "pemahaman" yang jelas tentang apa yang perlu dilakukan. Saya akan menunjukkan dengan contoh.
Tugasan. Tentukan jarak brek kereta berdasarkan pembuatan dan tahun pembuatannya.
Contoh algoritma percabangan. Jika kereta adalah jenama 1 dan dikeluarkan pada tahun 2012, jarak breknya ialah 10 meter, sebaliknya, jika kereta itu jenama 2 dan dikeluarkan pada tahun 2011, dan seterusnya.
Contoh rangkaian saraf. Kami mengumpul data tentang jarak brek kereta sepanjang 20 tahun yang lalu. Mengikut pembuatan dan tahun, kami menyusun jadual bentuk "tahun buat jarak brek pembuatan". Kami mengeluarkan jadual ini kepada rangkaian saraf dan mula mengajarnya. Latihan dijalankan seperti berikut: kami menyalurkan data ke rangkaian saraf, tetapi tanpa laluan brek. Neuron cuba meramalkan jarak brek berdasarkan jadual yang dimuatkan ke dalamnya. Meramalkan sesuatu dan bertanya kepada pengguna "Adakah saya betul?" Sebelum soalan, dia mencipta lajur keempat, lajur meneka. Jika dia betul, maka dia menulis 1 dalam lajur keempat; jika dia salah, dia menulis 0. Rangkaian saraf bergerak ke peristiwa seterusnya (walaupun ia membuat kesilapan). Beginilah cara rangkaian belajar dan apabila latihan selesai (kriteria penumpuan tertentu telah dicapai), kami menyerahkan data tentang kereta yang kami minati dan akhirnya mendapat jawapan.
Untuk mengalih keluar soalan tentang kriteria penumpuan, saya akan menerangkan bahawa ini ialah formula yang diterbitkan secara matematik untuk statistik. Contoh menarik bagi dua formula penumpuan yang berbeza. Merah β penumpuan binari, biru β penumpuan normal.
Taburan kebarangkalian binomial dan normal
Untuk menjadikannya lebih jelas, tanya soalan "Apakah kebarangkalian bertemu dengan dinosaur?" Terdapat 2 kemungkinan jawapan di sini. Pilihan 1 β sangat kecil (graf biru). Pilihan 2 β sama ada mesyuarat atau tidak (graf merah).
Sudah tentu, komputer bukan manusia dan ia belajar secara berbeza. Terdapat 2 jenis latihan kuda besi: pembelajaran berasaskan kes ΠΈ pembelajaran deduktif.
Pengajaran mengikut duluan ialah cara pengajaran menggunakan undang-undang matematik. Ahli matematik mengumpul jadual statistik, membuat kesimpulan dan memuatkan hasilnya ke dalam rangkaian saraf - formula untuk pengiraan.
Pembelajaran deduktif - pembelajaran berlaku sepenuhnya dalam neuron (dari pengumpulan data hingga analisisnya). Di sini jadual dibentuk tanpa formula, tetapi dengan statistik.
Gambaran keseluruhan teknologi yang luas akan mengambil beberapa dozen artikel lagi. Buat masa ini, ini sudah cukup untuk pemahaman umum kita.
Neuroplastisitas
Dalam biologi terdapat konsep sedemikian - neuroplastisitas. Neuroplastisitas ialah keupayaan neuron (sel otak) untuk bertindak "mengikut situasi." Sebagai contoh, seseorang yang hilang penglihatan mendengar bunyi, bau dan deria objek dengan lebih baik. Ini berlaku disebabkan oleh fakta bahawa bahagian otak (sebahagian daripada neuron) yang bertanggungjawab untuk penglihatan mengagihkan semula kerjanya kepada fungsi lain.
Contoh neuroplastisitas yang ketara dalam kehidupan ialah lollipop BrainPort.
Pada tahun 2009, Universiti Wisconsin di Madison mengumumkan pengeluaran peranti baharu yang membangunkan idea "paparan bahasa" - ia dipanggil BrainPort. BrainPort berfungsi mengikut algoritma berikut: isyarat video dihantar dari kamera ke pemproses, yang mengawal zum, kecerahan dan parameter gambar lain. Ia juga menukar isyarat digital kepada impuls elektrik, pada asasnya mengambil alih fungsi retina.
Lollipop BrainPort dengan cermin mata dan kamera
BrainPort di tempat kerja
Begitu juga dengan komputer. Jika rangkaian saraf merasakan perubahan dalam proses, ia menyesuaikan diri dengannya. Ini adalah kelebihan utama rangkaian saraf berbanding dengan algoritma lain - autonomi. Sejenis perikemanusiaan.
Analitis Trafik yang disulitkan
Analitis Trafik yang disulitkan ialah sebahagian daripada sistem Stealthwatch. Stealthwatch ialah kemasukan Cisco ke dalam penyelesaian pemantauan dan analisis keselamatan yang memanfaatkan data telemetri perusahaan daripada infrastruktur rangkaian sedia ada.
Stealthwatch Enterprise adalah berdasarkan Lesen Kadar Aliran, Pemungut Aliran, Konsol Pengurusan dan alatan Penderia Aliran.
Antara Muka Cisco Stealthwatch
Masalah dengan penyulitan menjadi sangat teruk kerana fakta bahawa lebih banyak trafik mula disulitkan. Sebelum ini, hanya kod yang disulitkan (kebanyakannya), tetapi kini semua trafik disulitkan dan memisahkan data "bersih" daripada virus menjadi lebih sukar. Contoh yang menarik ialah WannaCry, yang menggunakan Tor untuk menyembunyikan kehadiran dalam taliannya.
Visualisasi pertumbuhan dalam penyulitan trafik pada rangkaian
Penyulitan dalam makroekonomi
Sistem Analitis Trafik Disulitkan (ETA) diperlukan dengan tepat untuk bekerja dengan trafik yang disulitkan tanpa menyahsulitnya. Penyerang bijak dan menggunakan algoritma penyulitan yang tahan kripto, dan memecahkannya bukan sahaja masalah, tetapi juga sangat mahal untuk organisasi.
Sistem berfungsi seperti berikut. Beberapa lalu lintas datang ke syarikat. Ia termasuk dalam TLS (keselamatan lapisan pengangkutan). Katakan trafik disulitkan. Kami cuba menjawab beberapa soalan tentang jenis sambungan yang dibuat.
Cara sistem Analitis Trafik Tersulit (ETA) berfungsi
Untuk menjawab soalan ini, kami menggunakan pembelajaran mesin dalam sistem ini. Penyelidikan daripada Cisco diambil dan berdasarkan kajian ini satu jadual dibuat daripada 2 hasil - trafik berniat jahat dan "baik". Sudah tentu, kami tidak tahu pasti jenis trafik yang memasuki sistem secara langsung pada masa semasa, tetapi kami boleh mengesan sejarah trafik di dalam dan di luar syarikat menggunakan data dari peringkat dunia. Pada akhir peringkat ini, kami mendapat jadual besar dengan data.
Berdasarkan hasil kajian, ciri ciri dikenal pasti - peraturan tertentu yang boleh ditulis dalam bentuk matematik. Peraturan ini akan sangat berbeza bergantung pada kriteria yang berbeza - saiz fail yang dipindahkan, jenis sambungan, negara dari mana trafik ini datang, dsb. Hasil daripada kerja itu, meja besar itu bertukar menjadi satu set timbunan formula. Terdapat lebih sedikit daripada mereka, tetapi ini tidak mencukupi untuk kerja yang selesa.
Seterusnya, teknologi pembelajaran mesin diterapkan - konvergensi formula dan berdasarkan hasil penumpuan kita mendapat pencetus - suis, di mana apabila data keluaran kita mendapat suis (bendera) dalam kedudukan dinaikkan atau diturunkan.
Peringkat yang terhasil ialah mendapatkan set pencetus yang meliputi 99% trafik.
Langkah pemeriksaan trafik dalam ETA
Hasil daripada kerja itu, masalah lain diselesaikan - serangan dari dalam. Tidak ada lagi keperluan untuk orang di tengah menapis trafik secara manual (saya sedang lemas pada ketika ini). Pertama, anda tidak perlu lagi membelanjakan banyak wang untuk pentadbir sistem yang cekap (saya terus lemas sendiri). Kedua, tidak ada bahaya penggodaman dari dalam (sekurang-kurangnya sebahagiannya).
Konsep Man-in-the-Middle yang ketinggalan zaman
Sekarang, mari kita fikirkan berdasarkan apa sistem itu.
Sistem ini beroperasi pada 4 protokol komunikasi: TCP/IP β protokol pemindahan data Internet, DNS β pelayan nama domain, TLS β protokol keselamatan lapisan pengangkutan, SPLT (Penguji Lapisan Fizikal SpaceWire) β penguji lapisan komunikasi fizikal.
Protokol bekerja dengan ETA
Perbandingan dibuat dengan membandingkan data. Menggunakan protokol TCP/IP, reputasi tapak disemak (sejarah lawatan, tujuan mencipta tapak, dsb.), terima kasih kepada protokol DNS, kami boleh membuang alamat tapak "buruk". Protokol TLS berfungsi dengan cap jari tapak dan mengesahkan tapak terhadap pasukan tindak balas kecemasan komputer (sijil). Langkah terakhir dalam menyemak sambungan ialah menyemak pada tahap fizikal. Butiran peringkat ini tidak dinyatakan, tetapi intinya adalah seperti berikut: menyemak lengkung sinus dan kosinus lengkung penghantaran data pada pemasangan osilografi, i.e. Terima kasih kepada struktur permintaan pada lapisan fizikal, kami menentukan tujuan sambungan.
Hasil daripada operasi sistem, kami boleh mendapatkan data daripada trafik yang disulitkan. Dengan memeriksa paket, kita boleh membaca sebanyak mungkin maklumat daripada medan yang tidak disulitkan dalam paket itu sendiri. Dengan memeriksa paket pada lapisan fizikal, kami mengetahui ciri-ciri paket (sebahagian atau sepenuhnya). Juga, jangan lupa tentang reputasi tapak. Jika permintaan itu datang daripada sumber .onion, anda tidak seharusnya mempercayainya. Untuk memudahkan kerja dengan data jenis ini, peta risiko telah dibuat.
Hasil kerja ETA
Dan semuanya nampaknya baik-baik saja, tetapi mari kita bincangkan tentang penggunaan rangkaian.
Pelaksanaan fizikal ETA
Sejumlah nuansa dan kehalusan timbul di sini. Pertama, apabila mencipta jenis ini
rangkaian dengan perisian peringkat tinggi, pengumpulan data diperlukan. Kumpul data secara manual sepenuhnya
liar, tetapi melaksanakan sistem tindak balas sudah lebih menarik. Kedua, data
mesti ada banyak, yang bermaksud bahawa penderia rangkaian yang dipasang mesti berfungsi
bukan sahaja secara autonomi, tetapi juga dalam mod yang ditala halus, yang menimbulkan beberapa kesukaran.
Sistem Sensor dan Stealthwatch
Memasang penderia adalah satu perkara, tetapi menetapkannya adalah tugas yang sama sekali berbeza. Untuk mengkonfigurasi penderia, terdapat kompleks yang beroperasi mengikut topologi berikut - ISR = Cisco Integrated Services Router; ASR = Penghala Perkhidmatan Pengagregatan Cisco; CSR = Penghala Perkhidmatan Awan Cisco; WLC = Pengawal LAN Wayarles Cisco; IE = Suis Ethernet Perindustrian Cisco; ASA = Cisco Adaptive Security Appliance; FTD = Penyelesaian Pertahanan Ancaman Kuasa Api Cisco; WSA = Perkakas Keselamatan Web; ISE = Enjin Perkhidmatan Identiti
Pemantauan menyeluruh dengan mengambil kira sebarang data telemetrik
Pentadbir rangkaian mula mengalami aritmia daripada bilangan perkataan "Cisco" dalam perenggan sebelumnya. Harga keajaiban ini bukan kecil, tetapi bukan itu yang kita bincangkan hari ini...
Tingkah laku penggodam akan dimodelkan seperti berikut. Stealthwatch memantau dengan teliti aktiviti setiap peranti pada rangkaian dan mampu mencipta corak tingkah laku biasa. Selain itu, penyelesaian ini memberikan pandangan yang mendalam tentang tingkah laku yang tidak sesuai yang diketahui. Penyelesaian ini menggunakan kira-kira 100 algoritma analisis atau heuristik berbeza yang menangani jenis gelagat trafik yang berbeza seperti pengimbasan, bingkai penggera hos, log masuk brute-force, pengambilan data yang disyaki, kebocoran data yang disyaki, dsb. Peristiwa keselamatan yang disenaraikan termasuk dalam kategori penggera logik peringkat tinggi. Sesetengah acara keselamatan juga boleh mencetuskan penggera sendiri. Oleh itu, sistem ini dapat mengaitkan beberapa insiden anomali terpencil dan meletakkannya bersama-sama untuk menentukan jenis serangan yang mungkin, serta memautkannya kepada peranti dan pengguna tertentu (Rajah 2). Pada masa hadapan, kejadian itu boleh dikaji dari semasa ke semasa dan mengambil kira data telemetri yang berkaitan. Ini merupakan maklumat kontekstual yang terbaik. Doktor yang memeriksa pesakit untuk memahami apa yang salah tidak melihat gejala secara berasingan. Mereka melihat gambaran besar untuk membuat diagnosis. Begitu juga, Stealthwatch menangkap setiap aktiviti anomali pada rangkaian dan menelitinya secara holistik untuk menghantar penggera memahami konteks, dengan itu membantu profesional keselamatan mengutamakan risiko.
Pengesanan anomali menggunakan pemodelan tingkah laku
Penggunaan fizikal rangkaian kelihatan seperti ini:
Pilihan penempatan rangkaian cawangan (dipermudahkan)
Pilihan penempatan rangkaian cawangan
Rangkaian telah digunakan, tetapi persoalan mengenai neuron masih terbuka. Mereka menganjurkan rangkaian penghantaran data, memasang sensor pada ambang dan melancarkan sistem pengumpulan maklumat, tetapi neuron tidak mengambil bahagian dalam perkara itu. Selamat tinggal.
Rangkaian saraf berbilang lapisan
Π‘ΠΈΡΡΠ΅ΠΌΠ° Π°Π½Π°Π»ΠΈΠ·ΠΈΡΡΠ΅Ρ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Ρ ΠΈ ΡΡΡΡΠΎΠΉΡΡΠ²Π° Π΄Π»Ρ Π²ΡΡΠ²Π»Π΅Π½ΠΈΡ Π²ΡΠ΅Π΄ΠΎΠ½ΠΎΡΠ½ΡΡ Π·Π°ΡΠ°ΠΆΠ΅Π½ΠΈΠΉ, ΠΊΠΎΠΌΠΌΡΠ½ΠΈΠΊΠ°ΡΠΈΠΉ Ρ ΠΊΠΎΠΌΠ°Π½Π΄Π½ΡΠΌΠΈ ΡΠ΅ΡΠ²Π΅ΡΠ°ΠΌΠΈ, ΡΡΠ΅ΡΠΊΠΈ Π΄Π°Π½Π½ΡΡ , Π° ΡΠ°ΠΊΠΆΠ΅ ΠΏΠΎΡΠ΅Π½ΡΠΈΠ°Π»ΡΠ½ΠΎ Π½Π΅ΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠ½ΡΡ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, ΡΠ°Π±ΠΎΡΠ°ΡΡΠΈΡ Π² ΠΈΠ½ΡΡΠ°ΡΡΡΡΠΊΡΡΡΠ΅ ΠΎΡΠ³Π°Π½ΠΈΠ·Π°ΡΠΈΠΈ. Π‘ΡΡΠ΅ΡΡΠ²ΡΠ΅Ρ Π½Π΅ΡΠΊΠΎΠ»ΡΠΊΠΎ ΡΡΠΎΠ²Π½Π΅ΠΉ ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠΈ Π΄Π°Π½Π½ΡΡ , Π½Π° ΠΊΠΎΡΠΎΡΡΡ ΡΠΎΡΠ΅ΡΠ°Π½ΠΈΠ΅ ΠΌΠ΅ΡΠΎΠ΄ΠΎΠ² ΠΈΡΠΊΡΡΡΡΠ²Π΅Π½Π½ΠΎΠ³ΠΎ ΠΈΠ½ΡΠ΅Π»Π»Π΅ΠΊΡΠ°, ΠΌΠ°ΡΠΈΠ½Π½ΠΎΠ³ΠΎ ΠΎΠ±ΡΡΠ΅Π½ΠΈΡ ΠΈ ΠΌΠ°ΡΠ΅ΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΎΠΉ ΡΡΠ°ΡΠΈΡΡΠΈΠΊΠΈ ΠΏΠΎΠΌΠΎΠ³Π°ΡΡ ΡΠ΅ΡΠΈ ΡΠ°ΠΌΠΎΠΎΠ±ΡΡΠΈΡΡΡΡ ΡΠ²ΠΎΠ΅ΠΉ Π½ΠΎΡΠΌΠ°Π»ΡΠ½ΠΎΠΉ Π°ΠΊΡΠΈΠ²Π½ΠΎΡΡΠΈ, ΡΡΠΎΠ±Ρ ΠΎΠ½Π° ΠΌΠΎΠ³Π»Π° ΠΎΠΏΡΠ΅Π΄Π΅Π»ΡΡΡ Π²ΡΠ΅Π΄ΠΎΠ½ΠΎΡΠ½ΡΡ Π°ΠΊΡΠΈΠ²Π½ΠΎΡΡΡ.
Saluran paip analisis keselamatan rangkaian, yang mengumpul data telemetri dari semua bahagian rangkaian lanjutan, termasuk trafik yang disulitkan, adalah ciri unik Stealthwatch. Ia secara berperingkat membangunkan pemahaman tentang apa yang "anomali", kemudian mengkategorikan elemen individu sebenar "aktiviti ancaman", dan akhirnya membuat pertimbangan muktamad sama ada peranti atau pengguna itu sebenarnya telah terjejas. Keupayaan untuk menyatukan kepingan kecil yang bersama-sama membentuk bukti untuk membuat keputusan muktamad tentang sama ada sesuatu aset telah dikompromi datang melalui analisis dan korelasi yang sangat teliti.
Keupayaan ini penting kerana perniagaan biasa mungkin menerima sejumlah besar penggera setiap hari, dan adalah mustahil untuk menyiasat setiap satu kerana profesional keselamatan mempunyai sumber yang terhad. Modul pembelajaran mesin memproses sejumlah besar maklumat dalam hampir masa nyata untuk mengenal pasti insiden kritikal dengan tahap keyakinan yang tinggi, dan juga mampu menyediakan tindakan yang jelas untuk penyelesaian pantas.
Mari kita lihat lebih dekat pada banyak teknik pembelajaran mesin yang digunakan oleh Stealthwatch. Apabila insiden diserahkan kepada enjin pembelajaran mesin Stealthwatch, ia akan melalui corong analisis keselamatan yang menggunakan gabungan teknik pembelajaran mesin diselia dan tidak diselia.
Keupayaan pembelajaran mesin pelbagai peringkat
Tahap 1. Pengesanan anomali dan pemodelan amanah
Pada tahap ini, 99% trafik dibuang menggunakan pengesan anomali statistik. Penderia ini bersama-sama membentuk model kompleks tentang apa yang normal dan apa, sebaliknya, tidak normal. Walau bagaimanapun, yang tidak normal tidak semestinya berbahaya. Banyak perkara yang berlaku pada rangkaian anda tiada kaitan dengan ancaman ituβia hanya pelik. Adalah penting untuk mengklasifikasikan proses sedemikian tanpa mengambil kira tingkah laku yang mengancam. Atas sebab ini, keputusan pengesan tersebut dianalisis lebih lanjut untuk menangkap tingkah laku aneh yang boleh dijelaskan dan dipercayai. Akhirnya, hanya sebahagian kecil daripada utas dan permintaan yang paling penting yang sampai ke lapisan 2 dan 3. Tanpa penggunaan teknik pembelajaran mesin sedemikian, kos operasi untuk memisahkan isyarat daripada bunyi bising akan menjadi terlalu tinggi.
Pengesanan anomali. Langkah pertama dalam pengesanan anomali menggunakan teknik pembelajaran mesin statistik untuk memisahkan trafik normal secara statistik daripada trafik anomali. Lebih daripada 70 pengesan individu memproses data telemetri Stealthwatch yang dikumpulkan pada trafik yang melalui perimeter rangkaian anda, memisahkan trafik Sistem Nama Domain (DNS) dalaman daripada data pelayan proksi, jika ada. Setiap permintaan diproses oleh lebih daripada 70 pengesan, dengan setiap pengesan menggunakan algoritma statistiknya sendiri untuk membentuk penilaian ke atas anomali yang dikesan. Markah ini digabungkan dan berbilang kaedah statistik digunakan untuk menghasilkan satu skor bagi setiap pertanyaan individu. Skor agregat ini kemudiannya digunakan untuk memisahkan trafik biasa dan anomali.
Memodelkan kepercayaan. Seterusnya, permintaan serupa dikumpulkan dan skor anomali agregat untuk kumpulan tersebut ditentukan sebagai purata jangka panjang. Dari masa ke masa, lebih banyak pertanyaan dianalisis untuk menentukan purata jangka panjang, dengan itu mengurangkan positif palsu dan negatif palsu. Keputusan pemodelan amanah digunakan untuk memilih subset trafik yang skor anomalinya melebihi beberapa ambang yang ditentukan secara dinamik untuk beralih ke tahap pemprosesan seterusnya.
Tahap 2. Klasifikasi acara dan pemodelan objek
Pada peringkat ini, keputusan yang diperoleh pada peringkat sebelumnya diklasifikasikan dan diberikan kepada peristiwa berniat jahat tertentu. Peristiwa dikelaskan berdasarkan nilai yang diberikan oleh pengelas pembelajaran mesin untuk memastikan kadar ketepatan yang konsisten melebihi 90%. Antaranya:
- model linear berdasarkan lemma Neyman-Pearson (hukum taburan normal daripada graf pada permulaan artikel)
- menyokong mesin vektor menggunakan pembelajaran multivariate
- rangkaian saraf dan algoritma hutan rawak.
Peristiwa keselamatan terpencil ini kemudiannya dikaitkan dengan satu titik akhir dari semasa ke semasa. Pada peringkat ini, perihalan ancaman dibentuk, berdasarkan gambaran lengkap tentang cara penyerang yang berkaitan berjaya mencapai hasil tertentu.
Klasifikasi peristiwa. Subset anomali statistik dari peringkat sebelumnya diedarkan kepada 100 atau lebih kategori menggunakan pengelas. Kebanyakan pengelas adalah berdasarkan gelagat individu, perhubungan kumpulan atau gelagat pada skala global atau tempatan, manakala yang lain mungkin agak khusus. Contohnya, pengelas boleh menunjukkan trafik C&C, sambungan yang mencurigakan atau kemas kini perisian yang tidak dibenarkan. Berdasarkan keputusan peringkat ini, satu set peristiwa anomali dalam sistem keselamatan, diklasifikasikan ke dalam kategori tertentu, dibentuk.
Pemodelan objek. Jika jumlah bukti yang menyokong hipotesis bahawa objek tertentu berbahaya melebihi ambang materialiti, ancaman ditentukan. Peristiwa berkaitan yang mempengaruhi takrifan ancaman dikaitkan dengan ancaman sedemikian dan menjadi sebahagian daripada model jangka panjang objek yang diskret. Apabila bukti terkumpul dari semasa ke semasa, sistem mengenal pasti ancaman baharu apabila ambang materialiti dicapai. Nilai ambang ini adalah dinamik dan dilaraskan secara bijak berdasarkan tahap risiko ancaman dan faktor lain. Selepas ini, ancaman muncul pada panel maklumat antara muka web dan dipindahkan ke peringkat seterusnya.
Tahap 3. Pemodelan Perhubungan
Tujuan pemodelan perhubungan adalah untuk mensintesis hasil yang diperoleh pada peringkat sebelumnya daripada perspektif global, dengan mengambil kira bukan sahaja konteks tempatan tetapi juga konteks global kejadian yang berkaitan. Pada peringkat ini anda boleh menentukan bilangan organisasi yang mengalami serangan sedemikian untuk memahami sama ada ia ditujukan khusus kepada anda atau sebahagian daripada kempen global, dan anda baru sahaja ditangkap.
Insiden disahkan atau ditemui. Insiden yang disahkan menunjukkan keyakinan 99 hingga 100% kerana teknik dan alatan yang berkaitan sebelum ini telah diperhatikan dalam tindakan pada skala yang lebih besar (global). Insiden yang dikesan adalah unik untuk anda dan merupakan sebahagian daripada kempen yang sangat disasarkan. Penemuan lepas dikongsi dengan tindakan yang diketahui, menjimatkan masa dan sumber anda sebagai tindak balas. Ia disertakan dengan alat penyiasatan yang anda perlukan untuk memahami siapa yang menyerang anda dan sejauh mana kempen menyasarkan perniagaan digital anda. Seperti yang anda boleh bayangkan, bilangan insiden yang disahkan jauh melebihi bilangan insiden yang dikesan atas sebab mudah bahawa insiden yang disahkan tidak melibatkan kos yang tinggi kepada penyerang, manakala insiden yang dikesan.
mahal kerana mereka perlu baru dan disesuaikan. Dengan mencipta keupayaan untuk mengenal pasti insiden yang disahkan, ekonomi permainan akhirnya berubah memihak kepada pemain pertahanan, memberikan mereka kelebihan tersendiri.
Latihan pelbagai peringkat sistem sambungan saraf berdasarkan ETA
Peta risiko global
Peta risiko global dicipta melalui analisis yang digunakan oleh algoritma pembelajaran mesin kepada salah satu set data terbesar seumpamanya dalam industri. Ia menyediakan statistik tingkah laku yang meluas mengenai pelayan di Internet, walaupun ia tidak diketahui. Pelayan sedemikian dikaitkan dengan serangan dan mungkin terlibat atau digunakan sebagai sebahagian daripada serangan pada masa hadapan. Ini bukan "senarai hitam", tetapi gambaran komprehensif pelayan yang dipersoalkan dari sudut keselamatan. Maklumat kontekstual tentang aktiviti pelayan ini membolehkan pengesan dan pengelas pembelajaran mesin Stealthwatch meramal dengan tepat tahap risiko yang dikaitkan dengan komunikasi dengan pelayan tersebut.
Anda boleh melihat kad yang tersedia .
Peta dunia menunjukkan 460 juta alamat IP
Kini rangkaian belajar dan berdiri untuk melindungi rangkaian anda.
Akhirnya, ubat penawar telah ditemui?
Malangnya, tiada. Dari pengalaman bekerja dengan sistem, saya boleh mengatakan bahawa terdapat 2 masalah global.
Masalah 1. Harga. Keseluruhan rangkaian digunakan pada sistem Cisco. Ini adalah baik dan buruk. Sisi baiknya ialah anda tidak perlu bersusah payah dan memasang sekumpulan palam seperti D-Link, MikroTik, dll. Kelemahannya ialah kos sistem yang besar. Memandangkan keadaan ekonomi perniagaan Rusia, pada masa ini hanya pemilik kaya sebuah syarikat atau bank besar yang mampu melakukan keajaiban ini.
Masalah 2: Latihan. Saya tidak menulis dalam artikel itu tempoh latihan untuk rangkaian saraf, tetapi bukan kerana ia tidak wujud, tetapi kerana ia belajar sepanjang masa dan kita tidak dapat meramalkan bila ia akan belajar. Sudah tentu, terdapat alat statistik matematik (mengambil rumusan yang sama bagi kriteria penumpuan Pearson), tetapi ini adalah separuh ukuran. Kami mendapat kebarangkalian untuk menapis trafik, dan walaupun hanya dengan syarat bahawa serangan itu telah dikuasai dan diketahui.
Walaupun 2 masalah ini, kami telah membuat lonjakan besar dalam pembangunan keselamatan maklumat secara amnya dan perlindungan rangkaian khususnya. Fakta ini boleh menjadi motivasi untuk mengkaji teknologi rangkaian dan rangkaian saraf, yang kini merupakan arah yang sangat menjanjikan.
Sumber: www.habr.com