Een systeem voor het analyseren van verkeer zonder het te decoderen. Deze methode wordt simpelweg ‘machine learning’ genoemd. Het bleek dat als een zeer grote hoeveelheid verschillend verkeer naar de invoer van een speciale classificator wordt gevoerd, het systeem de acties van kwaadaardige code in gecodeerd verkeer met een zeer hoge mate van waarschijnlijkheid kan detecteren.
Online bedreigingen zijn veranderd en slimmer geworden. Onlangs is het concept van aanval en verdediging veranderd. Het aantal evenementen op het netwerk is aanzienlijk toegenomen. Aanvallen zijn geavanceerder geworden en hackers hebben een groter bereik.
Volgens de statistieken van Cisco hebben aanvallers het afgelopen jaar het aantal malware dat ze gebruiken voor hun activiteiten verdrievoudigd, of beter gezegd: de encryptie om deze te verbergen. Uit theorie is bekend dat het ‘juiste’ encryptie-algoritme niet kan worden verbroken. Om te begrijpen wat er in het gecodeerde verkeer verborgen zit, is het noodzakelijk om het te decoderen terwijl je de sleutel kent, of om het te proberen te decoderen met behulp van verschillende trucs, of door rechtstreeks te hacken, of door gebruik te maken van een of andere kwetsbaarheid in cryptografische protocollen.
Een beeld van de netwerkbedreigingen van onze tijd
Machine learning
Leer de technologie persoonlijk kennen! Voordat we het hebben over hoe de op machine learning gebaseerde decoderingstechnologie zelf werkt, is het noodzakelijk om te begrijpen hoe neurale netwerktechnologie werkt.
Machine Learning is een brede subsectie van kunstmatige intelligentie die methoden bestudeert voor het construeren van algoritmen die kunnen leren. Deze wetenschap is gericht op het creëren van wiskundige modellen voor het ‘trainen’ van een computer. Het doel van leren is om iets te voorspellen. In het menselijk begrip noemen we dit proces het woord "wijsheid". Wijsheid manifesteert zich bij mensen die al heel lang leven (een kind van 2 jaar kan niet wijs zijn). Wanneer we ons tot senior kameraden wenden voor advies, geven we hen wat informatie over de gebeurtenis (invoergegevens) en vragen we hen om hulp. Ze onthouden op hun beurt alle situaties uit het leven die op de een of andere manier verband houden met uw probleem (kennisbank) en geven ons op basis van deze kennis (gegevens) een soort voorspelling (advies). Dit type advies werd voorspelling genoemd, omdat de persoon die het advies geeft niet zeker weet wat er zal gebeuren, maar slechts aanneemt. Levenservaring leert dat iemand gelijk kan hebben, maar ook ongelijk.
Je moet neurale netwerken niet vergelijken met het vertakkingsalgoritme (if-else). Dit zijn verschillende dingen en er zijn belangrijke verschillen. Het vertakkingsalgoritme heeft een duidelijk ‘begrip’ van wat te doen. Ik zal het met voorbeelden demonstreren.
Taak. Bepaal de remweg van een auto op basis van het merk en bouwjaar.
Een voorbeeld van het vertakkingsalgoritme. Als een auto van merk 1 is en in 2012 is uitgebracht, is de remafstand 10 meter, anders als de auto van merk 2 is en in 2011 is uitgebracht, enzovoort.
Een voorbeeld van een neuraal netwerk. Wij verzamelen gegevens over de remafstanden van auto’s over de afgelopen 20 jaar. Per merk en bouwjaar stellen wij een tabel op in de vorm “merk-bouwjaar-remweg”. We geven deze tabel door aan het neurale netwerk en beginnen het te onderwijzen. De training wordt als volgt uitgevoerd: we sturen gegevens naar het neurale netwerk, maar zonder rempad. Het neuron probeert te voorspellen wat de remweg zal zijn op basis van de tabel die erin is geladen. Voorspelt iets en vraagt de gebruiker: “Heb ik gelijk?” Vóór de vraag maakt ze een vierde kolom aan, de raadkolom. Als ze gelijk heeft, schrijft ze 1 in de vierde kolom, als ze ongelijk heeft, schrijft ze 0. Het neurale netwerk gaat door naar de volgende gebeurtenis (zelfs als het een fout heeft gemaakt). Dit is hoe het netwerk leert en wanneer de training is voltooid (een bepaald convergentiecriterium is bereikt), dienen we gegevens in over de auto waarin we geïnteresseerd zijn en krijgen we uiteindelijk antwoord.
Om de vraag over het convergentiecriterium weg te nemen, zal ik uitleggen dat dit een wiskundig afgeleide formule voor statistiek is. Een treffend voorbeeld van twee verschillende convergentieformules. Rood – binaire convergentie, blauw – normale convergentie.
Binomiale en normale kansverdelingen
Om het duidelijker te maken, stel je de vraag: "Hoe groot is de kans dat je een dinosaurus tegenkomt?" Er zijn hier 2 mogelijke antwoorden. Optie 1 – heel klein (blauwe grafiek). Optie 2 – wel of geen vergadering (rode grafiek).
Natuurlijk is een computer geen persoon en leert hij op een andere manier. Er zijn 2 soorten ijzeren paardentraining: casusgericht leren и deductief leren.
Lesgeven volgens precedent is een manier van lesgeven waarbij gebruik wordt gemaakt van wiskundige wetten. Wiskundigen verzamelen statistiektabellen, trekken conclusies en laden het resultaat in het neurale netwerk - een formule voor berekeningen.
Deductief leren - leren vindt volledig plaats in het neuron (van het verzamelen van gegevens tot de analyse ervan). Hier wordt een tabel gevormd zonder formule, maar met statistieken.
Voor een breed overzicht van de technologie zouden nog een paar dozijn artikelen nodig zijn. Voor nu zal dit voldoende zijn voor ons algemene begrip.
Neuroplasticiteit
In de biologie bestaat zo'n concept: neuroplasticiteit. Neuroplasticiteit is het vermogen van neuronen (hersencellen) om te handelen ‘afhankelijk van de situatie’. Een persoon die zijn gezichtsvermogen heeft verloren, hoort bijvoorbeeld geluiden, ruikt en voelt voorwerpen beter. Dit gebeurt vanwege het feit dat het deel van de hersenen (een deel van de neuronen) dat verantwoordelijk is voor het gezichtsvermogen zijn werk herverdeelt naar andere functionaliteit.
Een sprekend voorbeeld van neuroplasticiteit in het leven is de BrainPort-lolly.
In 2009 kondigde de Universiteit van Wisconsin in Madison de release aan van een nieuw apparaat dat de ideeën van een "taaldisplay" ontwikkelde - het heette BrainPort. BrainPort werkt volgens het volgende algoritme: het videosignaal wordt van de camera naar de processor gestuurd, die de zoom, helderheid en andere beeldparameters regelt. Het zet ook digitale signalen om in elektrische impulsen, waardoor het in essentie de functies van het netvlies overneemt.
BrainPort-lolly met bril en camera
BrainPort aan het werk
Hetzelfde met een computer. Als het neurale netwerk een verandering in het proces waarneemt, past het zich daaraan aan. Dit is het belangrijkste voordeel van neurale netwerken vergeleken met andere algoritmen: autonomie. Een soort menselijkheid.
Versleutelde verkeersanalyse
Encrypted Traffic Analytics maakt deel uit van het Stealthwatch-systeem. Stealthwatch is Cisco's instap in oplossingen voor beveiligingsmonitoring en -analyse die gebruikmaakt van bedrijfstelemetriegegevens uit de bestaande netwerkinfrastructuur.
Stealthwatch Enterprise is gebaseerd op de tools Flow Rate License, Flow Collector, Management Console en Flow Sensor.
Cisco Stealthwatch-interface
Het probleem met encryptie werd zeer acuut vanwege het feit dat veel meer verkeer gecodeerd begon te worden. Voorheen werd alleen de code (grotendeels) gecodeerd, maar nu is al het verkeer gecodeerd en is het scheiden van “schone” gegevens van virussen veel moeilijker geworden. Een sprekend voorbeeld is WannaCry, dat Tor gebruikte om zijn online aanwezigheid te verbergen.
Visualisatie van de groei in verkeersencryptie op het netwerk
Encryptie in de macro-economie
Het Encrypted Traffic Analytics (ETA)-systeem is juist nodig om met gecodeerd verkeer te kunnen werken zonder het te decoderen. Aanvallers zijn slim en gebruiken crypto-resistente versleutelingsalgoritmen. Het breken ervan is niet alleen een probleem, maar ook extreem duur voor organisaties.
Het systeem werkt als volgt. Er komt wat verkeer naar het bedrijf. Het valt onder TLS (transportlaagbeveiliging). Laten we zeggen dat het verkeer gecodeerd is. We proberen een aantal vragen te beantwoorden over wat voor soort verbinding er is gemaakt.
Hoe het Encrypted Traffic Analytics (ETA)-systeem werkt
Om deze vragen te beantwoorden, gebruiken we machine learning in dit systeem. Er is onderzoek van Cisco gedaan en op basis van deze onderzoeken is een tabel gemaakt op basis van twee resultaten: kwaadaardig en ‘goed’ verkeer. Natuurlijk weten we niet zeker welk soort verkeer op dat moment direct het systeem binnenkwam, maar we kunnen de geschiedenis van het verkeer zowel binnen als buiten het bedrijf traceren met behulp van gegevens van het wereldtoneel. Aan het einde van deze fase krijgen we een enorme tabel met gegevens.
Op basis van de resultaten van het onderzoek worden karakteristieke kenmerken geïdentificeerd: bepaalde regels die in wiskundige vorm kunnen worden opgeschreven. Deze regels zullen sterk variëren, afhankelijk van verschillende criteria: de grootte van de overgedragen bestanden, het type verbinding, het land waar dit verkeer vandaan komt, enz. Als resultaat van het werk veranderde de enorme tafel in een reeks hopen formules. Er zijn er minder, maar dit is niet genoeg voor comfortabel werken.
Vervolgens wordt machine learning-technologie toegepast - formuleconvergentie en op basis van het resultaat van convergentie krijgen we een trigger - een schakelaar, waarbij wanneer de gegevens worden uitgevoerd, we een schakelaar (vlag) in de verhoogde of verlaagde positie krijgen.
De resulterende fase is het verkrijgen van een reeks triggers die 99% van het verkeer bestrijken.
Verkeersinspectiestappen in ETA
Als resultaat van het werk wordt een ander probleem opgelost: een aanval van binnenuit. Het is niet langer nodig dat mensen in het midden het verkeer handmatig filteren (ik verdrink mezelf op dit punt). Ten eerste hoef je niet langer veel geld uit te geven aan een competente systeembeheerder (ik blijf mezelf verdrinken). Ten tweede bestaat er geen gevaar voor hacking van binnenuit (althans gedeeltelijk).
Verouderd Man-in-the-Middle-concept
Laten we nu eens kijken waar het systeem op gebaseerd is.
Het systeem werkt op 4 communicatieprotocollen: TCP/IP – Internet data transfer protocol, DNS – domeinnaamserver, TLS – transportlaagbeveiligingsprotocol, SPLT (SpaceWire Physical Layer Tester) – fysieke communicatielaagtester.
Protocollen die werken met ETA
Vergelijking wordt gemaakt door gegevens te vergelijken. Met behulp van TCP/IP-protocollen wordt de reputatie van sites gecontroleerd (bezoekgeschiedenis, doel van het maken van de site, enz.). Dankzij het DNS-protocol kunnen we “slechte” siteadressen verwijderen. Het TLS-protocol werkt met de vingerafdruk van een site en verifieert de site aan de hand van een computernoodhulpteam (cert). De laatste stap bij het controleren van de verbinding is het controleren op fysiek niveau. De details van deze fase zijn niet gespecificeerd, maar het punt is als volgt: het controleren van de sinus- en cosinuscurven van datatransmissiecurven op oscillografische installaties, d.w.z. Dankzij de structuur van de aanvraag op de fysieke laag bepalen wij het doel van de verbinding.
Als gevolg van de werking van het systeem kunnen we gegevens verkrijgen uit gecodeerd verkeer. Door pakketten te onderzoeken kunnen we zoveel mogelijk informatie uit de niet-versleutelde velden in het pakket zelf lezen. Door het pakket op de fysieke laag te inspecteren, ontdekken we de kenmerken van het pakket (gedeeltelijk of volledig). Vergeet ook de reputatie van de sites niet. Als het verzoek afkomstig is van een of andere .onion-bron, moet u het niet vertrouwen. Om het werken met dit soort data makkelijker te maken, is er een risicokaart gemaakt.
Resultaat van het werk van ETA
En alles lijkt in orde te zijn, maar laten we het hebben over netwerkimplementatie.
Fysieke implementatie van ETA
Hier komen een aantal nuances en subtiliteiten naar voren. Ten eerste, bij het maken van dit soort
netwerken met software van hoog niveau, is gegevensverzameling vereist. Verzamel gegevens volledig handmatig
wild, maar het implementeren van een responssysteem is al interessanter. Ten tweede de gegevens
er moeten er veel zijn, wat betekent dat de geïnstalleerde netwerksensoren moeten werken
niet alleen autonoom, maar ook in een fijn afgestemde modus, wat een aantal problemen met zich meebrengt.
Sensoren en Stealthwatch-systeem
Een sensor installeren is één ding, maar het instellen ervan is een heel andere taak. Om sensoren te configureren is er een complex dat werkt volgens de volgende topologie: ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = Cisco Cloud Services-router; WLC = Cisco draadloze LAN-controller; IE = Cisco Industriële Ethernet-switch; ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defense-oplossing; WSA = Webbeveiligingsappliance; ISE = Identity Services-engine
Uitgebreide monitoring waarbij rekening wordt gehouden met eventuele telemetrische gegevens
Netwerkbeheerders beginnen aritmie te ervaren door het aantal woorden ‘Cisco’ in de vorige paragraaf. De prijs van dit wonder is niet klein, maar daar hebben we het vandaag niet over...
Het gedrag van de hacker wordt als volgt gemodelleerd. Stealthwatch houdt nauwlettend de activiteit van elk apparaat in het netwerk in de gaten en kan een patroon van normaal gedrag creëren. Bovendien biedt deze oplossing diepgaand inzicht in bekend ongepast gedrag. De oplossing maakt gebruik van ongeveer 100 verschillende analyse-algoritmen of heuristieken die verschillende soorten verkeersgedrag aanpakken, zoals scannen, host-alarmframes, brute-force logins, vermoedelijke gegevensverzameling, vermoedelijke gegevenslekken, enz. De vermelde beveiligingsgebeurtenissen vallen onder de categorie logische alarmen op hoog niveau. Sommige beveiligingsgebeurtenissen kunnen ook op zichzelf een alarm activeren. Het systeem kan dus meerdere geïsoleerde afwijkende incidenten met elkaar in verband brengen en samenvoegen om het mogelijke type aanval te bepalen, en deze aan een specifiek apparaat en een specifieke gebruiker koppelen (Afbeelding 2). In de toekomst kan het incident in de loop van de tijd worden bestudeerd, rekening houdend met de bijbehorende telemetriegegevens. Dit is contextuele informatie op zijn best. Artsen die een patiënt onderzoeken om te begrijpen wat er aan de hand is, kijken niet afzonderlijk naar de symptomen. Ze kijken naar het grote geheel om een diagnose te stellen. Op dezelfde manier registreert Stealthwatch elke abnormale activiteit op het netwerk en onderzoekt deze holistisch om contextbewuste alarmen te verzenden, waardoor beveiligingsprofessionals worden geholpen risico's te prioriteren.
Anomaliedetectie met behulp van gedragsmodellering
De fysieke inzet van het netwerk ziet er als volgt uit:
Optie voor implementatie van filiaalnetwerk (vereenvoudigd)
Optie voor implementatie van filiaalnetwerken
Het netwerk is ingezet, maar de vraag over het neuron blijft open. Ze organiseerden een datatransmissienetwerk, installeerden sensoren op de drempels en lanceerden een informatieverzamelingssysteem, maar het neuron nam niet deel aan de zaak. Doei.
Meerlaags neuraal netwerk
Het systeem analyseert het gedrag van gebruikers en apparaten om kwaadaardige infecties, communicatie met command-and-control-servers, datalekken en mogelijk ongewenste applicaties die in de infrastructuur van de organisatie draaien, te detecteren. Er zijn meerdere lagen van gegevensverwerking waarbij een combinatie van kunstmatige intelligentie, machinaal leren en wiskundige statistische technieken het netwerk helpt zijn normale activiteit zelf te leren, zodat het kwaadaardige activiteit kan detecteren.
De netwerkbeveiligingsanalysepijplijn, die telemetriegegevens verzamelt uit alle delen van het uitgebreide netwerk, inclusief gecodeerd verkeer, is een uniek kenmerk van Stealthwatch. Het ontwikkelt stapsgewijs inzicht in wat ‘afwijkend’ is, categoriseert vervolgens de daadwerkelijke individuele elementen van ‘bedreigingsactiviteit’ en maakt uiteindelijk een definitief oordeel over de vraag of het apparaat of de gebruiker daadwerkelijk is gecompromitteerd. Het vermogen om kleine stukjes samen te voegen die samen het bewijs vormen om een definitieve beslissing te nemen over de vraag of een asset in gevaar is gebracht, komt voort uit een zeer zorgvuldige analyse en correlatie.
Deze mogelijkheid is belangrijk omdat een typisch bedrijf elke dag een groot aantal alarmen kan ontvangen, en het onmogelijk is om ze allemaal te onderzoeken omdat beveiligingsprofessionals over beperkte middelen beschikken. De machine learning-module verwerkt enorme hoeveelheden informatie vrijwel in realtime om kritieke incidenten met een hoog vertrouwensniveau te identificeren, en kan ook duidelijke actielijnen bieden voor een snelle oplossing.
Laten we de talrijke machine learning-technieken die door Stealthwatch worden gebruikt eens nader bekijken. Wanneer een incident wordt ingediend bij de machine learning-engine van Stealthwatch, doorloopt het een beveiligingsanalysetrechter die gebruik maakt van een combinatie van machine learning-technieken onder toezicht en zonder toezicht.
Machine learning-mogelijkheden op meerdere niveaus
Niveau 1. Anomaliedetectie en vertrouwensmodellering
Op dit niveau wordt 99% van het verkeer genegeerd met behulp van statistische anomaliedetectoren. Deze sensoren vormen samen complexe modellen van wat normaal is en wat juist abnormaal is. Het abnormale is echter niet noodzakelijkerwijs schadelijk. Veel van wat er op uw netwerk gebeurt, heeft niets met de dreiging te maken; het is gewoon raar. Het is belangrijk om dergelijke processen te classificeren zonder rekening te houden met bedreigend gedrag. Om deze reden worden de resultaten van dergelijke detectoren verder geanalyseerd om vreemd gedrag vast te leggen dat kan worden verklaard en vertrouwd. Uiteindelijk bereikt slechts een klein deel van de belangrijkste threads en verzoeken de lagen 2 en 3. Zonder het gebruik van dergelijke machinale leertechnieken zouden de operationele kosten voor het scheiden van het signaal van de ruis te hoog zijn.
Onregelmatigheidsdetectie. De eerste stap bij het detecteren van afwijkingen maakt gebruik van statistische machine learning-technieken om statistisch normaal verkeer te scheiden van afwijkend verkeer. Meer dan 70 individuele detectoren verwerken de telemetriegegevens die Stealthwatch verzamelt over verkeer dat door uw netwerkperimeter gaat, waarbij intern Domain Name System (DNS)-verkeer wordt gescheiden van eventuele proxyservergegevens. Elk verzoek wordt verwerkt door meer dan 70 detectoren, waarbij elke detector zijn eigen statistische algoritme gebruikt om een beoordeling te vormen van de gedetecteerde afwijkingen. Deze scores worden gecombineerd en er worden meerdere statistische methoden gebruikt om voor elke individuele zoekopdracht één enkele score te produceren. Deze totale score wordt vervolgens gebruikt om normaal en afwijkend verkeer te scheiden.
Het modelleren van vertrouwen. Vervolgens worden soortgelijke verzoeken gegroepeerd en wordt de totale anomaliescore voor dergelijke groepen bepaald als een langetermijngemiddelde. In de loop van de tijd worden meer zoekopdrachten geanalyseerd om het langetermijngemiddelde te bepalen, waardoor het aantal valse positieven en valse negatieven wordt verminderd. De resultaten van het vertrouwensmodel worden gebruikt om een subset van verkeer te selecteren waarvan de anomaliescore een dynamisch bepaalde drempel overschrijdt om naar het volgende verwerkingsniveau te gaan.
Level 2. Gebeurtenisclassificatie en objectmodellering
Op dit niveau worden de resultaten die in de voorgaande fasen zijn verkregen, geclassificeerd en toegewezen aan specifieke kwaadaardige gebeurtenissen. Gebeurtenissen worden geclassificeerd op basis van de waarde die wordt toegewezen door machine learning-classificatoren om een consistent nauwkeurigheidspercentage van meer dan 90% te garanderen. Onder hen:
- lineaire modellen gebaseerd op het lemma van Neyman-Pearson (de wet van de normale verdeling uit de grafiek aan het begin van het artikel)
- ondersteuning van vectormachines met behulp van multivariate learning
- neurale netwerken en het willekeurige bosalgoritme.
Deze geïsoleerde beveiligingsgebeurtenissen worden vervolgens in de loop van de tijd aan één eindpunt gekoppeld. In deze fase wordt een dreigingsbeschrijving gevormd, op basis waarvan een compleet beeld ontstaat van hoe de betreffende aanvaller bepaalde resultaten heeft weten te bereiken.
Classificatie van evenementen. De statistisch afwijkende subset van het vorige niveau wordt met behulp van classificaties in 100 of meer categorieën verdeeld. De meeste classificaties zijn gebaseerd op individueel gedrag, groepsrelaties of gedrag op mondiale of lokale schaal, terwijl andere vrij specifiek kunnen zijn. De classificator kan bijvoorbeeld C&C-verkeer, een verdachte extensie of een ongeautoriseerde software-update aangeven. Op basis van de resultaten van deze fase wordt een reeks afwijkende gebeurtenissen in het beveiligingssysteem gevormd, ingedeeld in bepaalde categorieën.
Objectmodellering. Als de hoeveelheid bewijs ter ondersteuning van de hypothese dat een bepaald object schadelijk is de materialiteitsdrempel overschrijdt, is er sprake van een bedreiging. Relevante gebeurtenissen die de definitie van een dreiging hebben beïnvloed, worden geassocieerd met een dergelijke dreiging en worden onderdeel van een afzonderlijk langetermijnmodel van het object. Naarmate het bewijs zich in de loop van de tijd opstapelt, identificeert het systeem nieuwe bedreigingen wanneer de materialiteitsdrempel wordt bereikt. Deze drempelwaarde is dynamisch en wordt op intelligente wijze aangepast op basis van het dreigingsniveau en andere factoren. Hierna verschijnt de dreiging op het informatiepaneel van de webinterface en wordt deze overgebracht naar het volgende niveau.
Niveau 3. Relatiemodellering
Het doel van relatiemodellering is om de resultaten verkregen op eerdere niveaus vanuit een mondiaal perspectief te synthetiseren, waarbij niet alleen rekening wordt gehouden met de lokale maar ook met de mondiale context van het relevante incident. In dit stadium kunt u bepalen hoeveel organisaties met een dergelijke aanval zijn geconfronteerd, om te begrijpen of deze specifiek op u gericht was of deel uitmaakt van een wereldwijde campagne, en dat u zojuist bent betrapt.
Incidenten worden bevestigd of ontdekt. Een geverifieerd incident impliceert een betrouwbaarheid van 99 tot 100% omdat de bijbehorende technieken en hulpmiddelen eerder op grotere (mondiale) schaal in actie zijn waargenomen. De gedetecteerde incidenten zijn uniek voor u en maken deel uit van een zeer gerichte campagne. Bevindingen uit het verleden worden gedeeld met een bekende actielijn, waardoor u tijd en middelen bespaart als reactie. Ze worden geleverd met de onderzoeksinstrumenten die u nodig hebt om te begrijpen wie u heeft aangevallen en in welke mate de campagne zich op uw digitale bedrijf richtte. Zoals u zich kunt voorstellen, is het aantal bevestigde incidenten veel groter dan het aantal gedetecteerde incidenten, om de eenvoudige reden dat bevestigde incidenten voor aanvallers niet veel kosten met zich meebrengen, terwijl gedetecteerde incidenten dat wel doen.
duur omdat ze nieuw en op maat moeten zijn. Door de mogelijkheid te creëren om bevestigde incidenten te identificeren, is de economie van het spel eindelijk verschoven in het voordeel van de verdedigers, waardoor ze een duidelijk voordeel hebben.
Training op meerdere niveaus van een neuraal verbindingssysteem gebaseerd op ETA
Mondiale risicokaart
De mondiale risicokaart wordt gecreëerd door middel van analyse die door machine learning-algoritmen wordt toegepast op een van de grootste datasets in zijn soort in de sector. Het biedt uitgebreide gedragsstatistieken over servers op internet, zelfs als deze onbekend zijn. Dergelijke servers worden in verband gebracht met aanvallen en kunnen in de toekomst betrokken zijn bij of gebruikt worden als onderdeel van een aanval. Dit is geen ‘zwarte lijst’, maar een uitgebreid beeld van de server in kwestie vanuit veiligheidsoogpunt. Dankzij deze contextuele informatie over de activiteit van deze servers kunnen de machine learning-detectoren en classifiers van Stealthwatch nauwkeurig voorspellen welk risiconiveau verbonden is aan de communicatie met dergelijke servers.
U kunt beschikbare kaarten bekijken .
Wereldkaart met 460 miljoen IP-adressen
Nu leert het netwerk en komt het op om uw netwerk te beschermen.
Is er eindelijk een wondermiddel gevonden?
Helaas geen. Uit ervaring met het systeem kan ik zeggen dat er twee mondiale problemen zijn.
Probleem 1. Prijs. Het gehele netwerk wordt ingezet op een Cisco-systeem. Dit is zowel goed als slecht. De goede kant is dat je geen moeite hoeft te doen om een heleboel stekkers zoals D-Link, MikroTik, enz. te installeren. Het nadeel zijn de enorme kosten van het systeem. Gezien de economische toestand van het Russische bedrijfsleven kan op dit moment alleen een rijke eigenaar van een groot bedrijf of een bank zich dit wonder veroorloven.
Probleem 2: Opleiding. Ik heb in het artikel niet de trainingsperiode voor het neurale netwerk geschreven, maar niet omdat het niet bestaat, maar omdat het voortdurend leert en we niet kunnen voorspellen wanneer het zal leren. Natuurlijk zijn er hulpmiddelen voor wiskundige statistiek (neem dezelfde formulering van het Pearson-convergentiecriterium), maar dit zijn halve maten. We krijgen de kans om verkeer te filteren, en zelfs dan alleen onder de voorwaarde dat de aanval al onder de knie is en bekend is.
Ondanks deze twee problemen hebben we een grote sprong gemaakt in de ontwikkeling van informatiebeveiliging in het algemeen en netwerkbescherming in het bijzonder. Dit feit kan motiverend zijn voor de studie van netwerktechnologieën en neurale netwerken, die nu een veelbelovende richting zijn.
Bron: www.habr.com