پرو هوسٽر > بلاگ > انتظاميه > انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ

ٽريفڪ جي تجزيي لاءِ هڪ سسٽم ان کي ڊيڪرپٽ ڪرڻ کان سواءِ. اهو طريقو صرف "مشين لرننگ" سڏيو ويندو آهي. اهو ظاهر ٿيو ته جيڪڏهن مختلف ٽرئفڪ جو هڪ تمام وڏو مقدار هڪ خاص درجه بندي جي ان پٽ تي فيڊ ڪيو ويندو آهي، سسٽم انڪوڊ ٿيل ٽرئفڪ جي اندر بدسلوڪي ڪوڊ جي عملن کي ڳولي سگهي ٿو تمام گهڻي امڪان سان.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ

آن لائين خطرا تبديل ٿي ويا آھن ۽ ھوشيار ٿي ويا آھن. تازو، حملي ۽ دفاع جو بلڪل تصور تبديل ٿي چڪو آهي. نيٽ ورڪ تي واقعن جو تعداد تمام گھڻو وڌي ويو آھي. حملا وڌيڪ نفيس بڻجي ويا آهن ۽ هيڪرز وٽ وسيع پهچ آهي.

Cisco جي انگن اکرن موجب، گذريل سال دوران، حملي ڪندڙن مالويئر جو تعداد ٽي ڀيرا ڪيو آهي جيڪي اهي انهن جي سرگرمين لاء استعمال ڪندا آهن، يا بلڪه، انهن کي لڪائڻ لاء انڪرپشن. اهو نظريي مان معلوم ٿئي ٿو ته "صحيح" انڪرپشن الگورتھم کي ٽوڙي نٿو سگهجي. سمجھڻ لاءِ ته انڪريپٽ ٿيل ٽريفڪ جي اندر ڇا لڪايو ويو آھي، اھو ضروري آھي ته يا ته ان کي ڊڪرپٽ ڪري چاٻي کي سڃاڻي، يا مختلف چالن کي استعمال ڪندي ان کي ڊڪرپٽ ڪرڻ جي ڪوشش ڪريو، يا سڌو ھيڪنگ ڪريو، يا ڪرپٽوگرافڪ پروٽوڪول ۾ ڪنھن قسم جي ڪمزورين کي استعمال ڪري.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
اسان جي وقت جي نيٽ ورڪ جي خطرن جي هڪ تصوير

مشيني سکيا

انسان ۾ ٽيڪنالاجي ڄاڻو! مشين لرننگ تي ٻڌل ڊيڪرپشن ٽيڪنالاجي پاڻ ڪيئن ڪم ڪري ٿي، ان بابت ڳالهائڻ کان اڳ، اهو سمجهڻ ضروري آهي ته نيورل نيٽورڪ ٽيڪنالاجي ڪيئن ڪم ڪري ٿي.

مشين لرننگ مصنوعي ذهانت جو هڪ وسيع ذيلي ڀاڱو آهي جيڪو اڀياس ڪري ٿو طريقن جي تعمير لاءِ الگورتھم جيڪي سکي سگهن ٿا. هن سائنس جو مقصد ڪمپيوٽر جي ”ٽريننگ“ جا رياضياتي ماڊل ٺاهڻ آهي. سکڻ جو مقصد ڪنهن شيءِ جي اڳڪٿي ڪرڻ آهي. انساني سمجھ ۾، اسان ان عمل کي لفظ سڏين ٿا "عقل". عقل پاڻ کي ماڻهن ۾ ظاهر ڪري ٿو جيڪي ڪافي عرصي تائين رهن ٿا (هڪ 2 سالن جو ٻار عقلمند نه ٿي سگهي). جڏهن مشوري لاءِ سينيئر ڪامريڊن ڏانهن رخ ڪندا آهيون، اسان کين واقعي جي باري ۾ ڪجهه معلومات (انپٽ ڊيٽا) ڏيندا آهيون ۽ کانئن مدد گهرندا آهيون. اهي، موڙ ۾، زندگي جي سڀني حالتن کي ياد ڪن ٿا جيڪي ڪنهن نه ڪنهن طرح توهان جي مسئلي سان لاڳاپيل آهن (علم جو بنياد) ۽، هن علم (ڊيٽا) جي بنياد تي، اسان کي هڪ قسم جي اڳڪٿي (مشورو) ڏيو. ان قسم جي صلاح کي اڳڪٿي سڏيو وڃي ٿو ڇاڪاڻ ته صلاح ڏيڻ وارو شخص پڪ سان نه ٿو ڄاڻي ته ڇا ٿيندو، پر صرف فرض ڪري ٿو. زندگي جو تجربو ڏيکاري ٿو ته هڪ شخص صحيح ٿي سگهي ٿو، يا هو غلط ٿي سگهي ٿو.

توھان کي نئرل نيٽ ورڪن کي برانچنگ الگورٿم سان مقابلو نه ڪرڻ گھرجي (جيڪڏھن ٻيو). اهي مختلف شيون آهن ۽ اهم اختلاف آهن. برانچنگ الگورتھم کي واضح "سمجھ" آھي ته ڇا ڪجي. مان مثالن سان بيان ڪندس.

ڪم. ڪار جي بريڪنگ جي فاصلي جو اندازو لڳايو ان جي بناوٽ ۽ سال جي بنياد تي.

برانچنگ الگورتھم جو ھڪڙو مثال. جيڪڏهن ڪار برانڊ 1 آهي ۽ 2012 ۾ جاري ڪئي وئي هئي، ان جي بريڪنگ جو مفاصلو 10 ميٽر آهي، ٻي صورت ۾، جيڪڏهن ڪار برانڊ 2 آهي ۽ 2011 ۾ جاري ڪئي وئي هئي، وغيره.

نيورل نيٽ ورڪ جو هڪ مثال. اسان گذريل 20 سالن ۾ ڪار بريڪنگ جي فاصلن تي ڊيٽا گڏ ڪندا آهيون. ٺاھڻ ۽ سال جي حساب سان، اسان فارم جي ھڪڙي جدول کي مرتب ڪريون ٿا "ٺاھڻ جو سال-بريڪنگ فاصلو". اسان هن ٽيبل کي نيورل نيٽ ورڪ ڏانهن جاري ڪيو ۽ ان کي سيکارڻ شروع ڪيو. ٽريننگ هن ريت ڪئي وئي آهي: اسان ڊيٽا کي نيورل نيٽ ورڪ ڏانهن فيڊ ڪندا آهيون، پر بغير ڪنهن برڪنگ واري رستي جي. نيورون اڳڪٿي ڪرڻ جي ڪوشش ڪندو آهي ته بريڪنگ جو فاصلو ان ۾ لڪل ٽيبل تي ٻڌل هوندو. ڪنهن شيءِ جي اڳڪٿي ڪري ٿو ۽ صارف کان پڇي ٿو "ڇا مان صحيح آهيان؟" سوال کان اڳ، هوء هڪ چوٿين ڪالم ٺاهي ٿي، اندازو لڳائڻ وارو ڪالم. جيڪڏهن هوءَ صحيح آهي، ته پوءِ هوءَ چوٿين ڪالمن ۾ 1 لکندي؛ جيڪڏهن هوءَ غلط آهي، ته هوءَ 0 لکندي. نيورل نيٽ ورڪ ايندڙ واقعن ڏانهن هليو ويندو آهي (جيتوڻيڪ اها غلطي ڪئي هجي). اهو ڪيئن نيٽ ورڪ سکندو آهي ۽ جڏهن ٽريننگ مڪمل ٿي ويندي آهي (هڪ خاص ڪنورجنسي معيار تي پهچي چڪو آهي)، اسان ان ڪار جي باري ۾ ڊيٽا جمع ڪريون ٿا جنهن ۾ اسان دلچسپي رکون ٿا ۽ آخرڪار جواب حاصل ڪريون ٿا.

ڪنورجينس جي معيار بابت سوال کي هٽائڻ لاءِ، مان وضاحت ڪندس ته هي انگن اکرن لاءِ رياضياتي طور نڪتل فارمولا آهي. ٻن مختلف ڪنورجنسي فارمولن جو هڪ شاندار مثال. ڳاڙهو - بائنري ڪنورجنسي، نيرو - عام ڪنورجنس.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
بائنميل ۽ عام امڪاني تقسيم

ان کي واضح ڪرڻ لاء، سوال پڇو "ڊائناسور سان ملڻ جو امڪان ڇا آهي؟" هتي 2 ممڪن جواب آهن. اختيار 1 - تمام ننڍڙو (نيرو گراف). آپشن 2 - يا ته هڪ گڏجاڻي يا نه (لال گراف).

يقينن، ڪمپيوٽر هڪ شخص ناهي ۽ اهو مختلف طريقي سان سکندو آهي. لوھ گھوڙي جي تربيت جا 2 قسم آھن: ڪيس جي بنياد تي سکيا и ڪٽيل سکيا.

مثالي طور تي تدريس رياضياتي قانونن کي استعمال ڪندي تدريس جو هڪ طريقو آهي. رياضي دان شماريات جي جدولن کي گڏ ڪن ٿا، نتيجو ڪڍن ٿا ۽ نتيجن کي نيورل نيٽ ورڪ ۾ لوڊ ڪن ٿا - حساب لاءِ هڪ فارمولا.

تخفيف واري سکيا - سکيا مڪمل طور تي نيورون ۾ ٿئي ٿي (ڊيٽا گڏ ڪرڻ کان وٺي ان جي تجزيو تائين). هتي هڪ ٽيبل بنا ڪنهن فارمولا جي ٺهيل آهي، پر انگن اکرن سان.

ٽيڪنالاجي جو هڪ وسيع جائزو ٻين درجن جي مضمونن کي وٺي ها. في الحال، اهو اسان جي عام فهم لاء ڪافي ٿيندو.

Neuroplasticity

حياتيات ۾ اهڙي هڪ تصور آهي - neuroplasticity. Neuroplasticity نيورون (دماغ جي سيلز) جي صلاحيت آهي "صورتحال جي مطابق" ڪم ڪرڻ. مثال طور، هڪ شخص جيڪو پنهنجي نظر وڃائي چڪو آهي آواز ٻڌي، بوء ۽ شين کي بهتر محسوس ڪري ٿو. اهو ان حقيقت جي ڪري ٿئي ٿو ته دماغ جو حصو (نيورون جو حصو) وژن لاءِ ذميوار آهي ان جي ڪم کي ٻين ڪارڪردگيءَ ۾ ورهائي ٿو.

زندگي ۾ نيوروپلاسٽيت جو هڪ شاندار مثال BrainPort lollipop آهي.

2009 ۾، ميڊيسن ۾ وڪوسنسن يونيورسٽي هڪ نئين ڊوائيس جي ڇڏڻ جو اعلان ڪيو جنهن "ٻولي ڊسپلي" جا خيال ٺاهيا - ان کي BrainPort سڏيو ويو. BrainPort ھيٺ ڏنل الگورتھم جي مطابق ڪم ڪري ٿو: وڊيو سگنل ڪئميرا کان پروسيسر ڏانھن موڪليو ويو آھي، جيڪو زوم، چمڪ ۽ ٻين تصويرن جي ماپ کي سنڀاليندو آھي. اهو پڻ ڊجيٽل سگنلن کي برقي تسلسل ۾ تبديل ڪري ٿو، بنيادي طور تي ريٽنا جي ڪم کي کڻڻ.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
BrainPort لوليپپ شيشي ۽ ڪئميرا سان

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
ڪم تي BrainPort

ساڳي ئي ڪمپيوٽر سان. جيڪڏهن اعصابي نيٽ ورڪ کي عمل ۾ تبديلي محسوس ٿئي ٿي، اهو ان کي ترتيب ڏئي ٿو. هي ٻين الگورتھم جي مقابلي ۾ نيورل نيٽ ورڪ جو اهم فائدو آهي - خودمختياري. انسانيت جو هڪ قسم.

انڪرپٽ ٿيل ٽرئفڪ تجزياتي

انڪرپٽ ٿيل ٽرئفڪ اينالائيٽڪس اسٽيلٿ واچ سسٽم جو حصو آهي. اسٽيلٿ واچ سيڪيورٽي مانيٽرنگ ۽ اينالائيٽڪس حلن ۾ سسڪو جي داخلا آهي جيڪا موجوده نيٽ ورڪ انفراسٽرڪچر مان انٽرپرائز ٽيليميٽري ڊيٽا جو فائدو وٺي ٿي.

اسٽيلٿ واچ انٽرپرائز فلو ريٽ لائسنس، فلو ڪليڪٽر، مئنيجمينٽ ڪنسول ۽ فلو سينسر ٽولز تي ٻڌل آهي.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
سسڪو اسٽيلٿ واچ انٽرفيس

انڪريپشن سان مسئلو تمام گهڻو شديد ٿي ويو ان حقيقت جي ڪري ته تمام گهڻو ٽرئفڪ انڪرپٽ ٿيڻ شروع ڪيو. اڳي، صرف ڪوڊ ڪوڊ ڪيو ويو (اڪثر ڪري)، پر هاڻي سڀ ٽرئفڪ انڪرپٽ ٿيل آهي ۽ وائرس کان "صاف" ڊيٽا کي الڳ ڪرڻ تمام گهڻو ڏکيو ٿي چڪو آهي. هڪ شاندار مثال آهي WannaCry، جيڪو Tor استعمال ڪيو ان جي آن لائن موجودگي کي لڪائڻ لاء.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
نيٽ ورڪ تي ٽريفڪ انڪرپشن ۾ واڌ جو تصور

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
ميڪرو اقتصاديات ۾ انڪوشن

Encrypted Traffic Analytics (ETA) سسٽم لازمي طور تي انڪريپٽ ٿيل ٽريفڪ سان ڪم ڪرڻ لاءِ ان کي ڊڪرپٽ ڪرڻ کان سواءِ ضروري آهي. حملو ڪندڙ هوشيار آهن ۽ استعمال ڪندا آهن crypto-مزاحمتي انڪرپشن الگورٿم، ۽ انهن کي ٽوڙڻ نه رڳو هڪ مسئلو آهي، پر تنظيمن لاءِ پڻ تمام مهانگو آهي.

سسٽم هن ريت ڪم ڪري ٿو. ڪجهه ٽريفڪ ڪمپني ڏانهن اچي ٿو. اهو TLS (ٽرانسپورٽ پرت سيڪيورٽي) ۾ پوي ٿو. اچو ته ٽريفڪ انڪوڊ ٿيل آهي. اسان ڪيترن ئي سوالن جا جواب ڏيڻ جي ڪوشش ڪري رهيا آهيون ته ڪهڙي قسم جو ڪنيڪشن ٺاهيو ويو.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
ڪيئن اينڪريڊ ٿيل ٽرئفڪ اينالائيٽڪس (ETA) سسٽم ڪم ڪندو آهي

انهن سوالن جا جواب ڏيڻ لاءِ اسان هن سسٽم ۾ مشين لرننگ استعمال ڪندا آهيون. سسڪو کان تحقيق ورتي وئي آهي ۽ انهن مطالعي جي بنياد تي هڪ ٽيبل ٺاهي وئي آهي 2 نتيجن مان - خراب ۽ "سٺو" ٽرئفڪ. يقينن، اسان کي پڪ سان خبر ناهي ته ڪهڙي قسم جي ٽريفڪ سڌو سنئون سسٽم ۾ موجوده وقت ۾ داخل ٿي، پر اسان دنيا جي اسٽيج مان ڊيٽا استعمال ڪندي ڪمپني جي اندر ۽ ٻاهر ٻنهي ٽرئفڪ جي تاريخ کي ڳولي سگهون ٿا. هن اسٽيج جي آخر ۾، اسان ڊيٽا سان گڏ هڪ وڏي ٽيبل حاصل ڪندا آهيون.

مطالعي جي نتيجن جي بنياد تي، خاصيتن جي نشاندهي ڪئي وئي آهي - ڪجهه ضابطا جيڪي رياضياتي شڪل ۾ لکي سگهجن ٿيون. اهي ضابطا مختلف معيارن جي بنياد تي مختلف هوندا - منتقل ٿيل فائلن جي سائيز، ڪنيڪشن جو قسم، ملڪ جتان هي ٽرئفڪ اچي ٿي، وغيره. ڪم جي نتيجي ۾، وڏي ٽيبل فارمولن جي ڍير جي هڪ سيٽ ۾ تبديل ٿي وئي. انهن مان ٿورڙا آهن، پر اهو آرامده ڪم لاء ڪافي ناهي.

اڳيون، مشين لرننگ ٽيڪنالوجي لاڳو ٿئي ٿي - فارمولا ڪنورجنسي ۽ ڪنورجنسي جي نتيجي جي بنياد تي اسان کي حاصل ٿئي ٿو هڪ ٽرگر - هڪ سوئچ، جتي جڏهن ڊيٽا آئوٽ ٿئي ٿي ته اسان کي اڀري يا هيٺئين پوزيشن ۾ هڪ سوئچ (پرچم) ملي ٿو.

نتيجو اسٽيج حاصل ڪري رهيو آهي ٽارگيٽ جو هڪ سيٽ جيڪو 99٪ ٽرئفڪ کي ڍڪي ٿو.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
ETA ۾ ٽرئفڪ جي چڪاس جا قدم

ڪم جي نتيجي ۾، هڪ ٻيو مسئلو حل ڪيو ويو آهي - اندر کان هڪ حملو. ھاڻي ھاڻي ضرورت نه آھي ماڻھن جي وچ ۾ ٽريفڪ کي دستي طور تي فلٽر ڪرڻ (مان پاڻ کي ھن نقطي تي ٻوڙي رھيو آھيان). پهرين، توهان کي وڌيڪ پئسا خرچ ڪرڻ جي ضرورت ناهي هڪ قابل سسٽم منتظم تي (مان پنهنجو پاڻ کي ٻوڙي ڇڏيندس). ٻيو، اندر کان هيڪنگ جو ڪو به خطرو ناهي (گهٽ ۾ گهٽ جزوي طور تي).

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
پراڻو انسان-ان-دي-مڊل تصور

هاڻي اچو ته سمجهون ته اهو نظام ڪهڙي بنياد تي آهي.

سسٽم 4 ڪميونيڪيشن پروٽوڪول تي ڪم ڪري ٿو: TCP/IP - انٽرنيٽ ڊيٽا ٽرانسفر پروٽوڪول، DNS - ڊومين جو نالو سرور، TLS - ٽرانسپورٽ پرت سيڪيورٽي پروٽوڪول، SPLT (اسپيس وائر فزيڪل ليئر ٽيسٽر) - جسماني ڪميونيڪيشن ليئر ٽيسٽر.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
ETA سان ڪم ڪندڙ پروٽوڪول

موازنہ ڊيٽا جي مقابلي سان ڪيو ويندو آهي. TCP/IP پروٽوڪول استعمال ڪندي، سائيٽن جي شهرت جي چڪاس ڪئي ويندي آهي (دوري جي تاريخ، سائيٽ ٺاهڻ جو مقصد، وغيره)، DNS پروٽوڪول جي مهرباني، اسان "خراب" سائيٽ جي پتي کي رد ڪري سگهون ٿا. TLS پروٽوڪول سائيٽ جي فنگر پرنٽ سان ڪم ڪري ٿو ۽ ڪمپيوٽر جي ايمرجنسي رسپانس ٽيم (سرٽيف) جي خلاف سائيٽ جي تصديق ڪري ٿو. ڪنيڪشن چيڪ ڪرڻ ۾ آخري قدم جسماني سطح تي چيڪ ڪري رهيو آهي. هن اسٽيج جي تفصيل بيان نه ڪئي وئي آهي، پر نقطي هن ريت آهي: oscillographic تنصيب تي ڊيٽا ٽرانسميشن وکر جي سائن ۽ cosine وکر جي چڪاس، يعني. جسماني پرت تي درخواست جي جوڙجڪ جي مهرباني، اسان ڪنيڪشن جو مقصد طئي ڪندا آهيون.

سسٽم جي آپريشن جي نتيجي ۾، اسان انڪرپٽ ٿيل ٽرئفڪ مان ڊيٽا حاصل ڪري سگھون ٿا. پيڪٽس کي جانچڻ سان، اسان پيڪٽ ۾ موجود غير انڪريپٽ ٿيل شعبن مان جيترو ٿي سگهي وڌيڪ معلومات پڙهي سگهون ٿا. فزيڪل پرت تي پيڪٽ جي معائنو ڪندي، اسان پيڪٽ جي خاصيتن کي ڳوليندا آهيون (جزوي طور تي يا مڪمل طور تي). پڻ، سائيٽن جي شهرت جي باري ۾ نه وساريو. جيڪڏهن درخواست ڪجهه .onion ذريعن کان آئي آهي، توهان کي ان تي ڀروسو نه ڪرڻ گهرجي. ھن قسم جي ڊيٽا سان ڪم ڪرڻ آسان بڻائڻ لاءِ، ھڪ خطري جو نقشو ٺاھيو ويو آھي.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
ETA جي ڪم جو نتيجو

۽ هر شي ٺيڪ ٿي لڳي، پر اچو ته نيٽ ورڪ جي جوڙجڪ بابت ڳالهايو.

ETA جو جسماني نفاذ

هتي ڪيتريون ئي nuances ۽ subtleties پيدا ٿئي ٿو. پهريون، جڏهن هن قسم جي ٺاهي
اعلي سطحي سافٽ ويئر سان نيٽ ورڪ، ڊيٽا گڏ ڪرڻ جي ضرورت آهي. مڪمل طور تي دستي طور تي ڊيٽا گڏ ڪريو
جهنگلي، پر هڪ جوابي نظام لاڳو ڪرڻ اڳ ۾ ئي وڌيڪ دلچسپ آهي. ٻيو، ڊيٽا
اتي تمام گهڻو هجڻ گهرجي، جنهن جو مطلب آهي ته نصب ٿيل نيٽ ورڪ سينسر کي ڪم ڪرڻ گهرجي
نه رڳو خودمختياري، پر پڻ هڪ سٺي نموني موڊ ۾، جيڪو ڪيتريون ئي مشڪلاتون پيدا ڪري ٿو.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
سينسر ۽ اسٽيلٿ واچ سسٽم

هڪ سينسر نصب ڪرڻ هڪ شيء آهي، پر ان کي ترتيب ڏيڻ هڪ مڪمل طور تي مختلف ڪم آهي. سينسرز کي ترتيب ڏيڻ لاءِ، ھڪڙو ڪمپليڪس آھي جيڪو ھيٺ ڏنل ٽوپولوجي جي مطابق ھلندو آھي - ISR = Cisco Integrated Services Router؛ ASR = Cisco Aggregation Services Router؛ CSR = Cisco Cloud Services Router؛ WLC = Cisco وائرليس LAN ڪنٽرولر؛ IE = Cisco انڊسٽريل ايٿرنيٽ سوئچ؛ ASA = Cisco Adaptive Security Appliance؛ FTD = Cisco Firepower Threat Defence Solution; WSA = ويب سيڪيورٽي اپلائنس؛ ISE = سڃاڻپ سروس انجڻ

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
ڪنهن به ٽيلي ميٽرڪ ڊيٽا کي مدنظر رکندي جامع نگراني

نيٽ ورڪ منتظمين اڳئين پيراگراف ۾ لفظن جي تعداد مان arrhythmia جو تجربو شروع ڪن ٿا ”سِسڪو“. هن معجزي جي قيمت ننڍڙي نه آهي، پر اهو نه آهي جيڪو اسان اڄ بابت ڳالهائي رهيا آهيون ...

هيڪر جي رويي کي هيٺ ڏنل نموني ڪيو ويندو. Stealthwatch نيٽ ورڪ تي هر ڊوائيس جي سرگرمي کي احتياط سان مانيٽر ڪري ٿو ۽ عام رويي جو نمونو ٺاهڻ جي قابل آهي. اضافي طور تي، هي حل ڄاڻايل نامناسب رويي ۾ گہرے بصيرت مهيا ڪري ٿو. حل لڳ ڀڳ 100 مختلف تجزياتي الگورتھم يا هورسٽڪس استعمال ڪري ٿو جيڪي مختلف قسم جي ٽرئفڪ جي رويي کي پتو ڏين ٿا جهڙوڪ اسڪيننگ، ميزبان الارم فريم، برٽ-فورس لاگ ان، شڪي ڊيٽا کي پڪڙڻ، شڪي ڊيٽا ليڪ، وغيره. درج ٿيل سيڪيورٽي واقعا اعلي سطحي منطقي الارم جي درجي جي تحت گر ٿي. ڪجهه سيڪيورٽي واقعا پڻ پنهنجو پاڻ تي هڪ الارم ٽاري سگهن ٿا. اهڙيء طرح، سسٽم ڪيترن ئي الڳ ٿيل غير معمولي واقعن سان تعلق رکڻ جي قابل آهي ۽ انهن کي گڏ ڪرڻ جي ممڪن قسم جي حملي کي طئي ڪرڻ لاء، انهي سان گڏ ان کي هڪ مخصوص ڊوائيس ۽ صارف سان ڳنڍڻ (شڪل 2). مستقبل ۾، اهو واقعو وقت جي حوالي سان اڀياس ڪري سگهجي ٿو ۽ لاڳاپيل ٽيليميٽري ڊيٽا جي حساب سان. هي پنهنجي بهترين طور تي لاڳاپيل معلومات ٺاهي ٿو. ڊاڪٽر مريض کي جانچڻ لاءِ سمجھندا آهن ته ڇا غلط آهي اڪيلائي ۾ علامتن کي نه ڏسندا آهن. اهي تشخيص ڪرڻ لاء وڏي تصوير تي نظر اچن ٿا. ساڳئي طرح، Stealthwatch نيٽ ورڪ تي هر غير معمولي سرگرمي کي پڪڙي ٿو ۽ ان کي مڪمل طور تي جانچ ڪري ٿو ته جيئن حوالن کان آگاهي واري الارم موڪلڻ لاء، انهي سان گڏ سيڪيورٽي پروفيسر کي خطرن کي ترجيح ڏيڻ ۾ مدد ڪري ٿي.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
رويي جي ماڊلنگ استعمال ڪندي غير معمولي ڳولڻ

نيٽ ورڪ جي جسماني ترتيب هن طرح نظر اچي ٿي:

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
برانچ نيٽ ورڪ لڳائڻ جا اختيار (آسان ٿيل)

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
برانچ نيٽ ورڪ لڳائڻ جو اختيار

نيٽ ورڪ لڳايو ويو آهي، پر نيورون بابت سوال کليل رهي ٿو. انهن هڪ ڊيٽا ٽرانسميشن نيٽ ورڪ منظم ڪيو، حدن تي سينسر نصب ڪيو ۽ معلومات گڏ ڪرڻ وارو نظام شروع ڪيو، پر نيورون ان معاملي ۾ حصو نه ورتو. خدا حافظ.

Multilayer neural نيٽ ورڪ

سسٽم صارف ۽ ڊوائيس جي رويي جو تجزيو ڪري ٿو بدسلوڪي انفيڪشن کي ڳولڻ، ڪمانڊ ۽ ڪنٽرول سرورز سان رابطي، ڊيٽا ليڪ، ۽ ممڪن طور تي ناپسنديده ايپليڪيشنون تنظيم جي انفراسٽرڪچر ۾ هلندڙ. ڊيٽا پروسيسنگ جا ڪيترائي پرت آهن جتي مصنوعي ذهانت، مشين جي سکيا، ۽ رياضياتي انگن اکرن جي ٽيڪنڪ جو ميلاپ نيٽ ورڪ جي مدد ڪري ٿو پاڻ کي پنهنجي عام سرگرمي کي سکڻ ۾ ته جيئن اهو بدسلوڪي سرگرمي کي ڳولي سگهي.

نيٽ ورڪ سيڪيورٽي تجزيو پائپ لائن، جيڪا وڌايل نيٽ ورڪ جي سڀني حصن مان ٽيلي ميٽري ڊيٽا گڏ ڪري ٿي، بشمول انڪرپٽ ٿيل ٽريفڪ، اسٽيلٿ واچ جي هڪ منفرد خصوصيت آهي. اهو وڌ ۾ وڌ سمجھي ٿو ته ڇا آهي "غير معمولي"، پوء "خطري جي سرگرمي" جي حقيقي انفرادي عناصر کي درجه بندي ڪري ٿو، ۽ آخرڪار حتمي فيصلو ڪري ٿو ته ڇا ڊوائيس يا صارف اصل ۾ سمجھوتو ڪيو ويو آهي. ننڍن ننڍن ٽڪرن کي گڏ ڪرڻ جي صلاحيت جيڪا گڏ ڪري ثبوت ٺاهيندي حتمي فيصلو ڪرڻ لاءِ ته ڇا هڪ اثاثو سمجھوتو ڪيو ويو آهي تمام محتاط تجزيي ۽ باهمي تعلق ذريعي.

اها صلاحيت اهم آهي ڇاڪاڻ ته هڪ عام ڪاروبار هر روز وڏي تعداد ۾ الارم وصول ڪري سگهي ٿو، ۽ هر هڪ جي تحقيق ڪرڻ ناممڪن آهي ڇو ته سيڪيورٽي ماهرن وٽ محدود وسيلا آهن. مشين لرننگ ماڊل تمام گهڻي مقدار ۾ معلومات کي ويجهي حقيقي وقت ۾ پروسيس ڪري ٿو نازڪ واقعن کي اعليٰ سطح جي اعتماد سان سڃاڻڻ لاءِ، ۽ پڻ تيزيءَ سان حل لاءِ عمل جا واضح ڪورس مهيا ڪرڻ جي قابل آهي.

اچو ته اسٽيلٿ واچ پاران استعمال ڪيل ڪيترن ئي مشين لرننگ ٽيڪنڪ تي ويجھو نظر رکون. جڏهن ڪو واقعو پيش ڪيو ويندو آهي اسٽيلٿ واچ جي مشين لرننگ انجڻ تي، اهو هڪ حفاظتي تجزياتي فنل مان گذري ٿو جيڪو نگراني ۽ غير نگراني ٿيل مشين لرننگ ٽيڪنڪ جو ميلاپ استعمال ڪري ٿو.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
ملٽي-سطح مشين سکيا صلاحيتون

سطح 1. غير معمولي ڳولڻ ۽ اعتماد جي ماڊلنگ

ھن سطح تي، 99٪ ٽرئفڪ کي رد ڪيو ويو آھي شمارياتي انومالي ڊيڪٽرز استعمال ڪندي. اهي سينسر گڏجي پيچيده ماڊل ٺاهيندا آهن جيڪي عام آهن ۽ ڇا، ان جي برعڪس، غير معمولي آهي. بهرحال، غير معمولي ضروري طور تي نقصانڪار ناهي. توھان جي نيٽ ورڪ تي جيڪو ڪجھ ٿي رھيو آھي تنھن جو خطري سان ڪو واسطو ناھي- اھو رڳو عجيب آھي. اهو ضروري آهي ته اهڙي عمل کي درجي بندي ڪرڻ کان سواءِ خطري واري رويي جي پرواهه نه ڪجي. انهي سبب لاء، اهڙن ڊاڪٽرن جي نتيجن کي وڌيڪ تجزيو ڪيو ويو آهي ته جيئن عجيب رويي کي پڪڙڻ لاء جيڪي وضاحت ۽ قابل اعتماد ٿي سگهن ٿيون. آخرڪار، سڀ کان اهم موضوعن جو صرف هڪ ننڍڙو حصو ۽ درخواستون ان کي پرت 2 ۽ 3 تي ٺاهيندا آهن. اهڙي مشين لرننگ ٽيڪنڪ جي استعمال کان سواءِ، سگنل کي شور کان الڳ ڪرڻ جا آپريشنل خرچ تمام وڏا هوندا.

بي ضابطگي جي سڃاڻپ. بي ترتيبي جي ڳولا ۾ پهريون قدم شمارياتي مشين سکيا ٽيڪنڪ استعمال ڪري ٿو انگ اکر عام ٽرئفڪ کي غير معمولي ٽرئفڪ کان الڳ ڪرڻ لاءِ. 70 کان وڌيڪ انفرادي ڊيڪٽر ٽيلي ميٽري ڊيٽا کي پروسيس ڪن ٿا اسٽيلٿ واچ ٽرئفڪ تي گڏ ڪري ٿو جيڪو توهان جي نيٽ ورڪ جي دائري مان گذري ٿو، اندروني ڊومين نالو سسٽم (DNS) ٽرئفڪ کي پراکسي سرور ڊيٽا کان الڳ ڪري، جيڪڏهن ڪو آهي. هر درخواست تي عمل ڪيو ويندو آهي 70 کان وڌيڪ ڊيڪٽرز، هر هڪ ڊيڪٽر پنهنجي شمارياتي الگورتھم کي استعمال ڪندي ڳوليل بيضابطگين جو جائزو وٺڻ لاءِ. اهي اسڪور گڏ ڪيا ويا آهن ۽ ڪيترن ئي شمارياتي طريقا استعمال ڪيا ويندا آهن هر فرد جي سوال لاءِ هڪ سکور پيدا ڪرڻ لاءِ. هي مجموعي نمبر وري عام ۽ غير معمولي ٽرئفڪ کي الڳ ڪرڻ لاء استعمال ڪيو ويندو آهي.

ماڊلنگ اعتماد. اڳيون، ساڳيون درخواستون گروپ ڪيون وينديون آهن، ۽ اهڙن گروپن لاءِ مجموعي انمولي اسڪور کي ڊگھي مدي واري اوسط طور طئي ڪيو ويندو آهي. وقت گذرڻ سان گڏ، ڊگھي مدي واري اوسط کي طئي ڪرڻ لاءِ وڌيڪ سوالن جو تجزيو ڪيو وڃي ٿو، ان ڪري غلط مثبت ۽ غلط منفيات کي گھٽائي ٿو. ڀروسي جي ماڊلنگ جا نتيجا استعمال ڪيا ويندا آھن ٽرئفڪ جي ھڪڙي ذيلي سيٽ کي چونڊڻ لاءِ جن جي بي ضابطگي جو اسڪور ڪجھ متحرڪ طور تي طئي ٿيل حد کان وڌيڪ آھي ايندڙ پروسيسنگ سطح ڏانھن منتقل ڪرڻ لاءِ.

سطح 2. واقعي جي درجه بندي ۽ اعتراض ماڊلنگ

هن سطح تي، حاصل ڪيل نتيجن کي پوئين مرحلن تي درجه بندي ڪيو ويو آهي ۽ مخصوص بدسلوڪي واقعن کي لڳايو ويو آهي. واقعن جي درجه بندي ڪئي وئي آهي قيمت جي بنياد تي مشين لرننگ جي درجه بندي ڪندڙ طرفان مقرر ڪيل قيمت کي يقيني بڻائڻ لاءِ ته جيئن 90٪ کان مٿي هڪ مستقل درستگي جي شرح کي يقيني بڻائي سگهجي. انهن مان:

  • نيمن-پيئرسن ليما جي بنياد تي لڪير جا ماڊل (آرٽيڪل جي شروعات ۾ گراف مان عام تقسيم جو قانون)
  • سپورٽ ویکٹر مشينن کي استعمال ڪندي multivariate سکيا
  • نيورل نيٽ ورڪ ۽ بي ترتيب ٻيلو الگورتھم.

اهي الڳ ٿيل سيڪيورٽي واقعا پوءِ وقت سان گڏ هڪ واحد آخري نقطي سان جڙيل آهن. اهو هن مرحلي تي آهي ته هڪ خطري جي وضاحت ٺاهي وئي آهي، جنهن جي بنياد تي هڪ مڪمل تصوير ٺاهي وئي آهي ته لاڳاپيل حملي ڪندڙ ڪجهه نتيجا حاصل ڪرڻ ۾ ڪيئن منظم ڪيو.

واقعن جي درجه بندي. پوئين سطح کان شمارياتي طور تي غير معمولي ذيلي سيٽ کي ورهايو ويو آهي 100 يا وڌيڪ ڀاڱن ۾ درجه بندي استعمال ڪندي. اڪثر درجه بندي انفرادي رويي، گروهه رشتي، يا عالمي يا مقامي سطح تي رويي تي ٻڌل آهن، جڏهن ته ٻيا ڪافي مخصوص ٿي سگهن ٿا. مثال طور، درجه بندي C&C ٽرئفڪ، هڪ مشڪوڪ واڌ، يا هڪ غير مجاز سافٽ ويئر اپڊيٽ جي نشاندهي ڪري سگهي ٿي. هن اسٽيج جي نتيجن جي بنياد تي، سيڪيورٽي سسٽم ۾ غير معمولي واقعن جو هڪ سيٽ، ڪجهه ڀاڱن ۾ ورهايل آهي، ٺهيل آهي.

آبجیکٹ ماڊلنگ. جيڪڏهن ثبوت جو مقدار ان فرضي جي حمايت ڪري ٿو ته هڪ خاص شئي نقصانڪار آهي ماديت جي حد کان وڌي، هڪ خطرو طئي ڪيو ويندو آهي. لاڳاپيل واقعا جيڪي خطري جي تعريف کي متاثر ڪن ٿا، اهڙي خطري سان لاڳاپيل آهن ۽ اعتراض جي ڊگھي مدت واري ماڊل جو حصو بڻجي ويندا آهن. جيئن ته ثبوت وقت سان گڏ گڏ ٿين ٿا، سسٽم نون خطرن کي سڃاڻي ٿو جڏهن ماديت جي حد تائين پهچي وڃي ٿي. هي حد قدر متحرڪ آهي ۽ هوشياري سان ترتيب ڏنل آهي خطري جي خطري جي سطح ۽ ٻين عنصرن جي بنياد تي. ان کان پوء، خطرو ظاهر ٿئي ٿو ويب انٽرنيٽ جي معلومات پينل تي ۽ ايندڙ سطح تي منتقل ڪيو ويو آهي.

سطح 3. رشتي جي ماڊلنگ

رشتي جي ماڊلنگ جو مقصد گذريل سطحن تي حاصل ڪيل نتيجن کي عالمي نقطه نظر کان ترتيب ڏيڻ آهي، جنهن ۾ نه رڳو مقامي پر عالمي حوالي سان لاڳاپيل واقعي جي حوالي سان پڻ. اهو هن مرحلي تي آهي ته توهان اندازو لڳائي سگهو ٿا ته ڪيترين تنظيمن اهڙي حملي کي منهن ڏنو آهي اهو سمجهڻ لاءِ ته ڇا اهو خاص طور تي توهان جو مقصد هو يا ڪنهن عالمي مهم جو حصو آهي، ۽ توهان صرف پڪڙيو.

واقعا تصديق يا دريافت ڪيا ويا آهن. هڪ تصديق ٿيل واقعو 99 کان 100٪ اعتماد جو مطلب آهي ڇو ته لاڳاپيل ٽيڪنالاجي ۽ اوزار اڳ ۾ ئي وڏي (عالمي) پيماني تي عمل ۾ ڏٺو ويو آهي. معلوم ٿيل واقعا توهان لاءِ منفرد آهن ۽ هڪ انتهائي حدف ٿيل مهم جو حصو بڻجن ٿا. ماضي جا نتيجا هڪ ڄاڻايل طريقي سان شيئر ڪيا ويا آهن، جواب ۾ توهان جو وقت ۽ وسيلن جي بچت. اهي تحقيقي اوزار سان گڏ ايندا آهن توهان کي سمجهڻ جي ضرورت آهي ته توهان تي حملو ڪيو ۽ ڪهڙي حد تائين مهم توهان جي ڊجيٽل ڪاروبار کي نشانو بڻائيندي هئي. جئين توهان تصور ڪري سگهو ٿا، تصديق ٿيل واقعن جو تعداد معلوم ٿيل واقعن جي تعداد کان تمام گهڻو وڌيڪ آهي سادو سبب اهو آهي ته تصديق ٿيل واقعن ۾ حملو ڪندڙن لاءِ گهڻو خرچ شامل نه آهي، جڏهن ته معلوم ٿيل واقعا ڪندا آهن.
قيمتي ڇاڪاڻ ته اهي نوان ۽ ڪسٽمائيز ٿيڻ گهرجن. تصديق ٿيل واقعن کي سڃاڻڻ جي صلاحيت پيدا ڪندي، راند جي اقتصاديات آخرڪار محافظن جي حق ۾ منتقل ٿي ويا آهن، انهن کي هڪ الڳ فائدو ڏئي ٿو.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
ETA جي بنياد تي نيورل ڪنيڪشن سسٽم جي گھڻ سطحي تربيت

گلوبل خطري جو نقشو

عالمي خطري جو نقشو ٺاھيو ويو آھي تجزيي ذريعي مشين لرننگ الگورٿمز پاران لاڳو ڪيل صنعت ۾ پنھنجي قسم جي سڀ کان وڏي ڊيٽا سيٽن مان. اهو انٽرنيٽ تي سرورز جي حوالي سان وسيع رويي جي انگ اکر مهيا ڪري ٿو، جيتوڻيڪ اهي اڻڄاتل آهن. اهڙا سرور حملن سان جڙيل آهن ۽ ٿي سگهي ٿو ملوث يا مستقبل ۾ حملي جي حصي طور استعمال ڪيو وڃي. هي "ڪارو فهرست" نه آهي، پر سوال ۾ سرور جي هڪ جامع تصوير سيڪيورٽي نقطي نظر کان. انهن سرورن جي سرگرمي جي باري ۾ هي لاڳاپيل معلومات Stealthwatch جي مشين لرننگ ڊيڪٽرز ۽ درجه بندي ڪندڙ کي اجازت ڏئي ٿي ته انهن سرورن سان رابطي سان لاڳاپيل خطري جي سطح جي صحيح اڳڪٿي ڪن.

توهان دستياب ڪارڊ ڏسي سگهو ٿا هتي.

انڪوڊ ٿيل ٽريفڪ جو تجزيو ان کي ڊيڪرپٽ ڪرڻ کان سواءِ
دنيا جو نقشو ڏيکاريو 460 ملين IP پتي

هاڻي نيٽ ورڪ سکي ٿو ۽ اٿي بيٺو توهان جي نيٽ ورڪ کي بچائڻ لاءِ.

آخرڪار، هڪ panacea مليو آهي؟

بدقسمتي سان في. سسٽم سان ڪم ڪرڻ جي تجربي مان، مان چئي سگهان ٿو ته 2 عالمي مسئلا آهن.

مسئلو 1. قيمت. سڄو نيٽ ورڪ سسڪو سسٽم تي لڳايو ويو آهي. هي ٻئي سٺو ۽ خراب آهي. سٺو پاسو اهو آهي ته توهان کي پريشان ڪرڻ ۽ انسٽال ڪرڻ جي ضرورت ناهي پلگ جو هڪ گروپ جهڙوڪ ڊي-لنڪ، ميڪرو ٽِڪ وغيره. نقصان سسٽم جي وڏي قيمت آهي. روسي ڪاروبار جي اقتصادي حالت تي غور ڪندي، موجوده وقت ۾ صرف هڪ وڏي ڪمپني يا بينڪ جو هڪ مالدار مالڪ هن معجزي کي برداشت ڪري سگهي ٿو.

مسئلو 2: تربيت. مون مضمون ۾ نيورل نيٽ ورڪ لاءِ تربيتي دور نه لکيو، پر ان ڪري نه ته اهو موجود ناهي، پر ڇاڪاڻ ته اهو هر وقت سکندو رهيو آهي ۽ اسان اڳڪٿي نٿا ڪري سگهون ته اهو ڪڏهن سکندو. يقينن، رياضياتي انگن اکرن جا اوزار موجود آهن (پيئرسن ڪنورجنسي معيار جو ساڳيو فارموليشن وٺو)، پر اهي اڌ ماپ آهن. اسان ٽريفڪ کي فلٽر ڪرڻ جو امڪان حاصل ڪريون ٿا، ۽ ان کان پوءِ به صرف ان حالت ۾ ته حملي کي اڳ ۾ ئي ماهر ۽ ڄاتو وڃي ٿو.

انهن 2 مسئلن جي باوجود، اسان عام طور تي معلومات جي حفاظت ۽ خاص طور تي نيٽ ورڪ جي حفاظت جي ترقي ۾ هڪ وڏو ٽپو ڪيو آهي. اها حقيقت نيٽ ورڪ ٽيڪنالاجيز ۽ نيورل نيٽ ورڪ جي مطالعي لاءِ حوصلا افزائي ٿي سگهي ٿي، جيڪي هاڻي هڪ تمام پرجوش هدايتون آهن.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو