System analizujący ruch bez jego deszyfrowania. Metodę tę nazywa się po prostu „uczeniem maszynowym”. Okazało się, że jeśli na wejście specjalnego klasyfikatora zostanie podana bardzo duża ilość różnego ruchu, system będzie w stanie z bardzo dużym prawdopodobieństwem wykryć działania szkodliwego kodu w zaszyfrowanym ruchu.
Zagrożenia internetowe zmieniły się i stały się mądrzejsze. W ostatnim czasie zmieniło się samo pojęcie ataku i obrony. Znacząco wzrosła liczba wydarzeń w sieci. Ataki stały się bardziej wyrafinowane, a hakerzy mają szerszy zakres ataków.
Według statystyk Cisco w ciągu ostatniego roku napastnicy potroili liczbę złośliwego oprogramowania wykorzystywanego do swoich działań, a raczej szyfrowania w celu ich ukrycia. Z teorii wiadomo, że „poprawnego” algorytmu szyfrowania nie da się złamać. Aby zrozumieć, co kryje się w zaszyfrowanym ruchu, należy albo odszyfrować go znając klucz, albo spróbować odszyfrować go różnymi sztuczkami, albo bezpośrednio włamać się, albo wykorzystać pewnego rodzaju luki w protokołach kryptograficznych.
Obraz zagrożeń sieciowych naszych czasów
Nauczanie maszynowe
Poznaj technologię osobiście! Zanim zaczniemy mówić o tym, jak działa sama technologia deszyfrowania oparta na uczeniu maszynowym, konieczne jest zrozumienie, jak działa technologia sieci neuronowych.
Uczenie maszynowe to szeroka podsekcja sztucznej inteligencji, która bada metody konstruowania algorytmów zdolnych do uczenia się. Nauka ta ma na celu stworzenie modeli matematycznych do „trenowania” komputera. Celem uczenia się jest przewidzenie czegoś. W ludzkim rozumieniu proces ten nazywamy słowem "mądrość". Mądrość objawia się w ludziach, którzy żyją już dość długo (2-letnie dziecko nie może być mądre). Zwracając się do starszych towarzyszy o radę, przekazujemy im informacje na temat zdarzenia (dane wejściowe) i prosimy o pomoc. Oni z kolei zapamiętują wszystkie sytuacje z życia, które w jakiś sposób wiążą się z Twoim problemem (baza wiedzy) i na podstawie tej wiedzy (dane) dają nam swego rodzaju prognozę (radę). Tego typu rady zaczęto nazywać przewidywaniem, ponieważ osoba udzielająca rady nie wie na pewno, co się wydarzy, a jedynie przypuszcza. Doświadczenie życiowe pokazuje, że człowiek może mieć rację lub może się mylić.
Nie należy porównywać sieci neuronowych z algorytmem rozgałęziającym (if-else). To są różne rzeczy i są zasadnicze różnice. Algorytm rozgałęziający ma jasne „rozumienie” tego, co należy zrobić. Zademonstruję na przykładach.
Zadanie. Określ drogę hamowania samochodu na podstawie jego marki i roku produkcji.
Przykład algorytmu rozgałęziającego. Jeśli samochód jest marki 1 i został wypuszczony w 2012 roku, jego droga hamowania wynosi 10 metrów, w przeciwnym razie, jeśli samochód jest marki 2 i został wypuszczony w 2011 roku, i tak dalej.
Przykład sieci neuronowej. Zbieramy dane dotyczące drogi hamowania samochodów na przestrzeni ostatnich 20 lat. Według marki i roku sporządzamy tabelę w formie „rok produkcji – droga hamowania”. Wysyłamy tę tablicę do sieci neuronowej i zaczynamy jej uczyć. Uczenie odbywa się w następujący sposób: wprowadzamy dane do sieci neuronowej, ale bez ścieżki hamowania. Neuron na podstawie załadowanej do niego tabeli próbuje przewidzieć, jaka będzie droga hamowania. Przewiduje coś i pyta użytkownika „Czy mam rację?” Przed pytaniem tworzy czwartą kolumnę, kolumnę zgadywania. Jeśli ma rację, w czwartej kolumnie wpisuje 1, jeśli się myli, wpisuje 0. Sieć neuronowa przechodzi do kolejnego zdarzenia (nawet jeśli się pomyliła). W ten sposób uczy się sieć i po zakończeniu szkolenia (osiągnięte zostało pewne kryterium zbieżności) przekazujemy dane o interesującym nas samochodzie i ostatecznie otrzymujemy odpowiedź.
Aby usunąć pytanie o kryterium zbieżności, wyjaśnię, że jest to matematycznie wyprowadzony wzór na statystykę. Uderzający przykład dwóch różnych formuł zbieżności. Czerwony – zbieżność binarna, niebieski – zbieżność normalna.
Rozkłady prawdopodobieństwa dwumianowego i normalnego
Aby było jaśniej, zadaj pytanie „Jakie jest prawdopodobieństwo spotkania dinozaura?” Tutaj są 2 możliwe odpowiedzi. Opcja 1 – bardzo mała (niebieski wykres). Opcja 2 – albo spotkanie, albo nie (czerwony wykres).
Oczywiście komputer to nie człowiek i uczy się inaczej. Istnieją 2 rodzaje treningu żelaznego konia: nauka oparta na przypadkach и uczenie się dedukcyjne.
Nauczanie przez precedens to sposób nauczania z wykorzystaniem praw matematycznych. Matematycy zbierają tabele statystyczne, wyciągają wnioski i ładują wynik do sieci neuronowej - wzór do obliczeń.
Uczenie się dedukcyjne – uczenie się odbywa się całkowicie w neuronie (od gromadzenia danych do ich analizy). Tutaj tworzona jest tabela bez formuły, ale ze statystykami.
Szeroki przegląd tej technologii zająłby kolejnych kilkadziesiąt artykułów. Na razie to wystarczy dla naszego ogólnego zrozumienia.
Neuroplastyczność
W biologii istnieje takie pojęcie - neuroplastyczność. Neuroplastyczność to zdolność neuronów (komórek mózgowych) do działania „w zależności od sytuacji”. Na przykład osoba, która straciła wzrok, lepiej słyszy dźwięki, węszy i wyczuwa przedmioty. Dzieje się tak dlatego, że część mózgu (część neuronów) odpowiedzialna za widzenie redystrybuuje swoją pracę do innych funkcji.
Uderzającym przykładem neuroplastyczności w życiu jest lizak BrainPort.
W 2009 roku Uniwersytet Wisconsin w Madison ogłosił wypuszczenie na rynek nowego urządzenia, które rozwinęło ideę „wyświetlacza języka” - nazwano go BrainPort. BrainPort działa według następującego algorytmu: sygnał wideo przesyłany jest z kamery do procesora, który kontroluje powiększenie, jasność i inne parametry obrazu. Przekształca również sygnały cyfrowe w impulsy elektryczne, zasadniczo przejmując funkcje siatkówki.
Lizak BrainPort z okularami i aparatem
BrainPort w pracy
To samo z komputerem. Jeśli sieć neuronowa wyczuje zmianę w procesie, dostosowuje się do niej. To właśnie jest kluczowa zaleta sieci neuronowych w porównaniu do innych algorytmów – autonomia. Rodzaj człowieczeństwa.
Zaszyfrowana analiza ruchu
Szyfrowana analiza ruchu jest częścią systemu Stealthwatch. Stealthwatch to wejście Cisco na rynek rozwiązań do monitorowania i analizy bezpieczeństwa, które wykorzystują dane telemetryczne przedsiębiorstwa z istniejącej infrastruktury sieciowej.
Stealthwatch Enterprise opiera się na licencji Flow Rate License, Flow Collector, Management Console i narzędziach Flow Sensor.
Interfejs Cisco Stealthwatch
Problem z szyfrowaniem stał się bardzo dotkliwy, ponieważ zaczęto szyfrować znacznie większy ruch. Wcześniej szyfrowany był tylko kod (przeważnie), ale teraz cały ruch jest szyfrowany i oddzielenie „czystych” danych od wirusów stało się znacznie trudniejsze. Uderzającym przykładem jest WannaCry, który wykorzystywał Tora do ukrywania swojej obecności w Internecie.
Wizualizacja wzrostu szyfrowania ruchu w sieci
Szyfrowanie w makroekonomii
System Encrypted Traffic Analytics (ETA) jest niezbędny właśnie do pracy z zaszyfrowanym ruchem bez jego deszyfrowania. Atakujący są sprytni i korzystają z algorytmów szyfrowania odpornych na szyfrowanie, a ich złamanie jest nie tylko problemem, ale także niezwykle kosztownym dla organizacji.
System działa w następujący sposób. Część ruchu trafia do firmy. Należy do TLS (bezpieczeństwo warstwy transportowej). Załóżmy, że ruch jest szyfrowany. Staramy się odpowiedzieć na szereg pytań dotyczących tego, jakiego rodzaju połączenie zostało wykonane.
Jak działa system szyfrowanej analizy ruchu (ETA).
Aby odpowiedzieć na te pytania, w tym systemie wykorzystujemy uczenie maszynowe. Przeprowadzono badania firmy Cisco i na ich podstawie utworzono tabelę zawierającą 2 wyniki – ruch złośliwy i „dobry”. Oczywiście nie wiemy do końca, jaki ruch trafiał do systemu bezpośrednio w danym momencie, ale historię ruchu zarówno wewnątrz, jak i na zewnątrz firmy możemy prześledzić, korzystając z danych ze świata. Na koniec tego etapu otrzymujemy ogromną tabelę z danymi.
Na podstawie wyników badań identyfikowane są cechy charakterystyczne – pewne zasady, które można zapisać w formie matematycznej. Zasady te będą się znacznie różnić w zależności od różnych kryteriów - rozmiaru przesyłanych plików, rodzaju połączenia, kraju, z którego pochodzi ten ruch itp. W wyniku pracy ogromny stół zamienił się w zbiór stosów formuł. Jest ich mniej, ale to nie wystarczy do komfortowej pracy.
Następnie stosowana jest technologia uczenia maszynowego - formuła zbieżności i na podstawie wyniku zbieżności otrzymujemy wyzwalacz - przełącznik, gdzie podczas wyprowadzania danych otrzymujemy przełącznik (flagę) w pozycji podniesionej lub obniżonej.
Efektem końcowym jest uzyskanie zestawu wyzwalaczy pokrywających 99% ruchu.
Etapy kontroli ruchu w ETA
W wyniku pracy rozwiązano kolejny problem - atak od wewnątrz. Nie ma już potrzeby, aby ludzie pośrodku ręcznie filtrowali ruch (w tym momencie się topię). Po pierwsze, nie musisz już wydawać dużych pieniędzy na kompetentnego administratora systemu (ja nadal się topię). Po drugie, nie ma niebezpieczeństwa włamania się od wewnątrz (przynajmniej częściowo).
Przestarzała koncepcja człowieka pośrodku
Teraz zastanówmy się, na czym opiera się ten system.
System działa w oparciu o 4 protokoły komunikacyjne: TCP/IP – protokół internetowego przesyłania danych, DNS – serwer nazw domen, TLS – protokół bezpieczeństwa warstwy transportowej, SPLT (SpaceWire Physical Layer Tester) – tester fizycznej warstwy komunikacyjnej.
Protokoły współpracujące z ETA
Porównanie odbywa się poprzez porównanie danych. Za pomocą protokołów TCP/IP sprawdzana jest reputacja witryn (historia odwiedzin, cel utworzenia witryny itp.), dzięki protokołowi DNS możemy odrzucić „złe” adresy witryn. Protokół TLS współpracuje z odciskiem palca witryny i weryfikuje witrynę względem zespołu reagowania na awarię komputerową (certyfikat). Ostatnim krokiem sprawdzania połączenia jest sprawdzenie na poziomie fizycznym. Szczegóły tego etapu nie są określone, ale chodzi o to, aby sprawdzić przebiegi sinusoidalne i cosinusoidalne krzywych transmisji danych na instalacjach oscylograficznych, tj. Dzięki strukturze żądania w warstwie fizycznej określamy cel połączenia.
W wyniku działania systemu możemy pozyskiwać dane z ruchu szyfrowanego. Badając pakiety, możemy odczytać jak najwięcej informacji z niezaszyfrowanych pól w samym pakiecie. Sprawdzając pakiet w warstwie fizycznej, poznajemy jego charakterystykę (częściowo lub całkowicie). Nie zapomnij także o reputacji witryn. Jeśli żądanie pochodzi z jakiegoś źródła .onion, nie powinieneś mu ufać. Aby ułatwić pracę z tego typu danymi, stworzono mapę ryzyka.
Wynik pracy ETA
I wszystko wydaje się być w porządku, ale porozmawiajmy o wdrożeniu sieci.
Fizyczna realizacja ETA
Pojawia się tutaj wiele niuansów i subtelności. Po pierwsze, podczas tworzenia tego rodzaju
sieci z oprogramowaniem wysokiego poziomu, wymagane jest gromadzenie danych. Zbieraj dane całkowicie ręcznie
dzikie, ale wdrożenie systemu reagowania jest już bardziej interesujące. Po drugie, dane
powinno być dużo, co oznacza, że zainstalowane czujniki sieciowe muszą działać
nie tylko autonomicznie, ale także w trybie precyzyjnie dostrojonym, co stwarza szereg trudności.
Czujniki i system Stealthwatch
Zainstalowanie czujnika to jedno, ale jego ustawienie to zupełnie inne zadanie. Aby skonfigurować czujniki, istnieje kompleks działający zgodnie z następującą topologią - ISR = Cisco Integrated Services Router; ASR = router usług agregacji Cisco; CSR = router Cisco Cloud Services; WLC = kontroler bezprzewodowej sieci LAN Cisco; IE = przemysłowy przełącznik Ethernet Cisco; ASA = adaptacyjne urządzenie zabezpieczające Cisco; FTD = rozwiązanie Cisco Firepower Threat Defense Solution; WSA = urządzenie zabezpieczające sieć; ISE = silnik usług tożsamości
Kompleksowy monitoring z uwzględnieniem wszelkich danych telemetrycznych
Administratorzy sieci zaczynają odczuwać arytmię od liczby słów „Cisco” w poprzednim akapicie. Cena tego cuda nie jest mała, ale nie o tym dziś mowa...
Zachowanie hakera będzie modelowane w następujący sposób. Stealthwatch dokładnie monitoruje aktywność każdego urządzenia w sieci i jest w stanie stworzyć wzorzec normalnego zachowania. Dodatkowo rozwiązanie to zapewnia głęboki wgląd w znane niewłaściwe zachowania. Rozwiązanie wykorzystuje około 100 różnych algorytmów analizy lub heurystyki, które uwzględniają różne typy zachowań w ruchu, takie jak skanowanie, ramki alarmowe hosta, logowanie metodą brute-force, podejrzenie przechwycenia danych, podejrzenie wycieku danych itp. Wymienione zdarzenia bezpieczeństwa należą do kategorii alarmów logicznych wysokiego poziomu. Niektóre zdarzenia związane z bezpieczeństwem mogą również same wywołać alarm. Dzięki temu system jest w stanie skorelować wiele izolowanych nietypowych incydentów i połączyć je w celu określenia możliwego rodzaju ataku, a także powiązania go z konkretnym urządzeniem i użytkownikiem (rysunek 2). W przyszłości zdarzenie będzie można badać w czasie i uwzględniać powiązane dane telemetryczne. Jest to informacja kontekstowa w najlepszym wydaniu. Lekarze badający pacjenta, aby zrozumieć, co mu dolega, nie patrzą na objawy w izolacji. Patrzą na całość, aby postawić diagnozę. Podobnie Stealthwatch wychwytuje każdą anomalną aktywność w sieci i analizuje ją całościowo, aby wysyłać alarmy zależne od kontekstu, pomagając w ten sposób specjalistom ds. bezpieczeństwa w ustalaniu priorytetów zagrożeń.
Wykrywanie anomalii za pomocą modelowania zachowań
Fizyczne rozmieszczenie sieci wygląda następująco:
Opcja wdrożenia w sieci oddziałowej (uproszczona)
Opcja wdrożenia w sieci oddziałowej
Sieć została uruchomiona, ale pytanie o neuron pozostaje otwarte. Zorganizowali sieć transmisji danych, zainstalowali czujniki na progach i uruchomili system zbierania informacji, ale neuron nie wziął w tym udziału. Do widzenia.
Wielowarstwowa sieć neuronowa
System analizuje zachowanie użytkowników i urządzeń w celu wykrycia złośliwych infekcji, komunikacji z serwerami dowodzenia i kontroli, wycieków danych i potencjalnie niepożądanych aplikacji działających w infrastrukturze organizacji. Istnieje wiele warstw przetwarzania danych, gdzie połączenie sztucznej inteligencji, uczenia maszynowego i technik statystyki matematycznej pomaga sieci w samouczeniu się jej normalnego działania, dzięki czemu może wykryć złośliwą aktywność.
Potok analizy bezpieczeństwa sieci, który zbiera dane telemetryczne ze wszystkich części rozszerzonej sieci, w tym ruch zaszyfrowany, jest unikalną funkcją Stealthwatch. Stopniowo rozwija wiedzę na temat tego, co jest „anomalne”, następnie kategoryzuje poszczególne elementy „działania zagrażającego”, a na koniec dokonuje ostatecznej oceny, czy urządzenie lub użytkownik rzeczywiście zostało naruszone. Możliwość połączenia małych elementów, które razem tworzą dowody w celu podjęcia ostatecznej decyzji o tym, czy zabezpieczenie zostało naruszone, wymaga bardzo dokładnej analizy i korelacji.
Możliwość ta jest ważna, ponieważ typowa firma może codziennie otrzymywać ogromną liczbę alarmów i nie da się zbadać każdego z nich, ponieważ specjaliści ds. bezpieczeństwa mają ograniczone zasoby. Moduł uczenia maszynowego przetwarza ogromne ilości informacji w czasie zbliżonym do rzeczywistego, aby z dużą pewnością identyfikować krytyczne incydenty, a także jest w stanie zapewnić jasne kierunki działań w celu szybkiego rozwiązania.
Przyjrzyjmy się bliżej licznym technikom uczenia maszynowego wykorzystywanym przez Stealthwatch. Kiedy incydent jest przesyłany do silnika uczenia maszynowego Stealthwatch, przechodzi przez ścieżkę analizy bezpieczeństwa, która wykorzystuje kombinację nadzorowanych i nienadzorowanych technik uczenia maszynowego.
Możliwości wielopoziomowego uczenia maszynowego
Poziom 1. Wykrywanie anomalii i modelowanie zaufania
Na tym poziomie 99% ruchu jest odrzucane przy użyciu statystycznych detektorów anomalii. Czujniki te razem tworzą złożone modele tego, co jest normalne, a co nienormalne. Jednak to, co nienormalne, niekoniecznie jest szkodliwe. Wiele tego, co dzieje się w Twojej sieci, nie ma nic wspólnego z zagrożeniem — jest po prostu dziwne. Ważne jest, aby klasyfikować takie procesy bez względu na zachowania zagrażające. Z tego powodu wyniki takich detektorów są dalej analizowane w celu wykrycia dziwnych zachowań, które można wyjaśnić i którym można zaufać. Ostatecznie tylko niewielka część najważniejszych wątków i żądań trafia do warstw 2 i 3. Bez zastosowania takich technik uczenia maszynowego koszty operacyjne oddzielenia sygnału od szumu byłyby zbyt wysokie.
Wykrywanie anomalii. Pierwszy krok w wykrywaniu anomalii wykorzystuje statystyczne techniki uczenia maszynowego w celu oddzielenia statystycznie normalnego ruchu od nietypowego ruchu. Ponad 70 indywidualnych detektorów przetwarza dane telemetryczne, które Stealthwatch zbiera na temat ruchu przechodzącego przez obwód Twojej sieci, oddzielając ruch wewnętrzny systemu nazw domen (DNS) od danych serwera proxy, jeśli takie istnieją. Każde żądanie jest przetwarzane przez ponad 70 detektorów, przy czym każdy detektor wykorzystuje własny algorytm statystyczny w celu oceny wykrytych anomalii. Wyniki te są łączone i stosuje się wiele metod statystycznych w celu uzyskania pojedynczego wyniku dla każdego pojedynczego zapytania. Ten łączny wynik jest następnie używany do oddzielenia ruchu normalnego i nietypowego.
Modelowanie zaufania. Następnie podobne żądania są grupowane i łączny wynik anomalii dla takich grup jest określany jako średnia długoterminowa. Z biegiem czasu analizowanych jest więcej zapytań w celu ustalenia średniej długoterminowej, zmniejszając w ten sposób liczbę wyników fałszywie pozytywnych i fałszywie negatywnych. Wyniki modelowania zaufania służą do wybrania podzbioru ruchu, którego wynik anomalii przekracza dynamicznie określony próg, w celu przejścia do następnego poziomu przetwarzania.
Poziom 2. Klasyfikacja zdarzeń i modelowanie obiektów
Na tym poziomie wyniki uzyskane na poprzednich etapach są klasyfikowane i przypisywane do konkretnych szkodliwych zdarzeń. Zdarzenia są klasyfikowane na podstawie wartości przypisanej przez klasyfikatory uczenia maszynowego, aby zapewnić stały współczynnik dokładności powyżej 90%. Pomiędzy nimi:
- modele liniowe oparte na lemacie Neymana-Pearsona (prawo rozkładu normalnego z wykresu na początku artykułu)
- obsługują maszyny wektorowe przy użyciu uczenia wielowymiarowego
- sieci neuronowe i algorytm lasu losowego.
Te izolowane zdarzenia bezpieczeństwa są następnie kojarzone z pojedynczym punktem końcowym w miarę upływu czasu. To właśnie na tym etapie tworzony jest opis zagrożenia, na podstawie którego tworzony jest pełny obraz tego, w jaki sposób danemu atakującemu udało się osiągnąć określone rezultaty.
Klasyfikacja zdarzeń. Statystycznie nietypowy podzbiór z poprzedniego poziomu jest rozdzielany na 100 lub więcej kategorii za pomocą klasyfikatorów. Większość klasyfikatorów opiera się na indywidualnym zachowaniu, relacjach grupowych lub zachowaniu w skali globalnej lub lokalnej, podczas gdy inne mogą być dość specyficzne. Na przykład klasyfikator może wskazywać ruch C&C, podejrzane rozszerzenie lub nieautoryzowaną aktualizację oprogramowania. Na podstawie wyników tego etapu powstaje zespół zdarzeń anomalnych w systemie bezpieczeństwa, sklasyfikowanych w określone kategorie.
Modelowanie obiektów. Jeżeli ilość dowodów potwierdzających hipotezę o szkodliwości danego przedmiotu przekracza próg istotności, stwierdza się zagrożenie. Istotne zdarzenia, które miały wpływ na definicję zagrożenia, są kojarzone z takim zagrożeniem i stają się częścią dyskretnego długoterminowego modelu obiektu. W miarę gromadzenia się dowodów system identyfikuje nowe zagrożenia po osiągnięciu progu istotności. Ta wartość progowa jest dynamiczna i jest inteligentnie dostosowywana w oparciu o poziom ryzyka zagrożenia i inne czynniki. Następnie zagrożenie pojawia się na panelu informacyjnym interfejsu internetowego i zostaje przeniesione na wyższy poziom.
Poziom 3. Modelowanie relacji
Celem modelowania relacji jest synteza wyników uzyskanych na poprzednich poziomach z perspektywy globalnej, biorąc pod uwagę nie tylko lokalny, ale także globalny kontekst odpowiedniego incydentu. To na tym etapie możesz określić, ile organizacji spotkało się z takim atakiem, aby dowiedzieć się, czy był on wymierzony konkretnie w Ciebie, czy też stanowił część globalnej kampanii i właśnie zostałeś złapany.
Zdarzenia zostają potwierdzone lub odkryte. Zweryfikowany incydent daje pewność od 99 do 100%, ponieważ powiązane techniki i narzędzia zostały wcześniej zaobserwowane w działaniu na większą (globalną) skalę. Wykryte zdarzenia są specyficzne dla Ciebie i stanowią część ściśle ukierunkowanej kampanii. Wcześniejsze ustalenia są udostępniane wraz ze znanym sposobem działania, co pozwala zaoszczędzić czas i zasoby w odpowiedzi. Zawierają narzędzia dochodzeniowe, których potrzebujesz, aby dowiedzieć się, kto Cię zaatakował i w jakim stopniu kampania była skierowana do Twojej cyfrowej firmy. Jak można sobie wyobrazić, liczba potwierdzonych incydentów znacznie przewyższa liczbę wykrytych z tego prostego powodu, że potwierdzone incydenty nie wiążą się z dużymi kosztami dla atakujących, podczas gdy wykryte incydenty tak.
drogie, bo muszą być nowe i dostosowane do indywidualnych potrzeb. Dzięki stworzeniu możliwości identyfikacji potwierdzonych incydentów ekonomia gry ostatecznie przesunęła się na korzyść obrońców, dając im wyraźną przewagę.
Wielopoziomowe szkolenie systemu połączeń neuronowych w oparciu o ETA
Globalna mapa ryzyka
Globalna mapa ryzyka tworzona jest poprzez analizę zastosowaną przez algorytmy uczenia maszynowego do jednego z największych tego typu zbiorów danych w branży. Dostarcza rozbudowanych statystyk behawioralnych dotyczących serwerów w Internecie, nawet jeśli są one nieznane. Takie serwery są powiązane z atakami i mogą być zaangażowane lub wykorzystane w ramach ataku w przyszłości. To nie jest „czarna lista”, ale kompleksowy obraz danego serwera z punktu widzenia bezpieczeństwa. Ta kontekstowa informacja o aktywności tych serwerów umożliwia detektorom i klasyfikatorom uczenia maszynowego Stealthwatch dokładne przewidywanie poziomu ryzyka związanego z komunikacją z takimi serwerami.
Możesz przeglądać dostępne karty .
Mapa świata pokazująca 460 milionów adresów IP
Teraz sieć uczy się i staje w obronie Twojej sieci.
Wreszcie znaleziono panaceum?
Niestety, nie. Z doświadczenia w pracy z systemem mogę powiedzieć, że są 2 problemy globalne.
Zadanie 1. Cena. Cała sieć jest wdrożona w systemie Cisco. To jest zarówno dobre, jak i złe. Dobrą stroną jest to, że nie musisz się martwić i instalować wielu wtyczek, takich jak D-Link, MikroTik itp. Wadą jest ogromny koszt systemu. Biorąc pod uwagę stan ekonomiczny rosyjskiego biznesu, w chwili obecnej tylko zamożny właściciel dużej firmy lub banku może sobie pozwolić na ten cud.
Problem 2: Trening. Nie pisałem w artykule okresu uczenia sieci neuronowej, ale nie dlatego, że ona nie istnieje, ale dlatego, że ona cały czas się uczy i nie jesteśmy w stanie przewidzieć, kiedy się nauczy. Istnieją oczywiście narzędzia statystyki matematycznej (przyjmijmy to samo sformułowanie kryterium zbieżności Pearsona), ale są to półśrodki. Otrzymujemy prawdopodobieństwo filtrowania ruchu i to tylko pod warunkiem, że atak został już opanowany i znany.
Pomimo tych 2 problemów dokonaliśmy dużego skoku w rozwoju bezpieczeństwa informacji w ogóle, a ochrony sieci w szczególności. Fakt ten może być motywacją do badań nad technologiami sieciowymi i sieciami neuronowymi, które są obecnie bardzo obiecującym kierunkiem.
Źródło: www.habr.com