ระบบวิเคราะห์การรับส่งข้อมูลโดยไม่ต้องถอดรหัส วิธีการนี้เรียกง่ายๆ ว่า "การเรียนรู้ของเครื่อง" ปรากฎว่าหากปริมาณการรับส่งข้อมูลจำนวนมากถูกส่งไปยังอินพุตของตัวแยกประเภทพิเศษ ระบบสามารถตรวจจับการกระทำของโค้ดที่เป็นอันตรายภายในการรับส่งข้อมูลที่เข้ารหัสได้ด้วยความน่าจะเป็นที่สูงมาก
ภัยคุกคามออนไลน์มีการเปลี่ยนแปลงและชาญฉลาดยิ่งขึ้น เมื่อเร็ว ๆ นี้ แนวคิดเรื่องการโจมตีและการป้องกันได้เปลี่ยนไปแล้ว จำนวนเหตุการณ์บนเครือข่ายเพิ่มขึ้นอย่างมาก การโจมตีมีความซับซ้อนมากขึ้นและแฮกเกอร์ก็เข้าถึงได้กว้างขึ้น
ตามสถิติของ Cisco ในปีที่ผ่านมา ผู้โจมตีได้เพิ่มจำนวนมัลแวร์ที่ใช้สำหรับกิจกรรมของตนเป็นสามเท่า หรือมากกว่าการเข้ารหัสเพื่อซ่อนพวกเขา เป็นที่ทราบกันดีอยู่แล้วตามทฤษฎีว่าอัลกอริธึมการเข้ารหัสที่ "ถูกต้อง" ไม่สามารถถูกทำลายได้ เพื่อทำความเข้าใจสิ่งที่ซ่อนอยู่ในการรับส่งข้อมูลที่เข้ารหัส จำเป็นต้องถอดรหัสโดยรู้คีย์ หรือพยายามถอดรหัสโดยใช้กลอุบายต่างๆ หรือการแฮ็กโดยตรง หรือใช้ช่องโหว่บางประเภทในโปรโตคอลการเข้ารหัส
ภาพภัยคุกคามทางเครือข่ายในยุคของเรา
การเรียนรู้ของเครื่อง
รู้จักเทคโนโลยีด้วยตนเอง! ก่อนที่จะพูดถึงวิธีการทำงานของเทคโนโลยีถอดรหัสด้วยการเรียนรู้ของเครื่อง จำเป็นต้องเข้าใจว่าเทคโนโลยีโครงข่ายประสาทเทียมทำงานอย่างไร
การเรียนรู้ของเครื่องเป็นส่วนย่อยกว้าง ๆ ของปัญญาประดิษฐ์ที่ศึกษาวิธีการสร้างอัลกอริทึมที่สามารถเรียนรู้ได้ วิทยาศาสตร์นี้มีวัตถุประสงค์เพื่อสร้างแบบจำลองทางคณิตศาสตร์สำหรับ "ฝึกอบรม" คอมพิวเตอร์ จุดประสงค์ของการเรียนรู้คือการทำนายบางสิ่งบางอย่าง ในความเข้าใจของมนุษย์ เราเรียกกระบวนการนี้ว่าคำว่า "ภูมิปัญญา". ปัญญาปรากฏอยู่ในคนที่มีอายุยืนยาว (เด็ก 2 ขวบจะฉลาดไม่ได้) เมื่อขอคำแนะนำจากสหายอาวุโส เราจะให้ข้อมูลบางอย่างเกี่ยวกับเหตุการณ์ (ข้อมูลที่ป้อน) และขอความช่วยเหลือจากพวกเขา ในทางกลับกันพวกเขาจะจดจำสถานการณ์ทั้งหมดในชีวิตที่เกี่ยวข้องกับปัญหาของคุณ (ฐานความรู้) และจากความรู้ (ข้อมูล) นี้ทำให้เราคาดการณ์ (คำแนะนำ) ได้ คำแนะนำประเภทนี้เริ่มเรียกว่าการทำนายเพราะผู้ให้คำแนะนำไม่ทราบแน่ชัดว่าจะเกิดอะไรขึ้น แต่เพียงสันนิษฐานเท่านั้น ประสบการณ์ชีวิตแสดงให้เห็นว่าบุคคลหนึ่งสามารถถูกหรือผิดก็ได้
คุณไม่ควรเปรียบเทียบโครงข่ายประสาทเทียมกับอัลกอริธึมการแยกสาขา (if-else) สิ่งเหล่านี้แตกต่างและมีความแตกต่างที่สำคัญ อัลกอริธึมการแตกแขนงมี "ความเข้าใจ" ที่ชัดเจนว่าต้องทำอะไร ฉันจะสาธิตด้วยตัวอย่าง
งาน. กำหนดระยะเบรกของรถยนต์ตามยี่ห้อและปีที่ผลิต
ตัวอย่างของอัลกอริธึมการแยกสาขา หากรถยนต์เป็นยี่ห้อ 1 และออกจำหน่ายในปี 2012 ระยะเบรกจะอยู่ที่ 10 เมตร ไม่เช่นนั้นหากเป็นรถยนต์ยี่ห้อ 2 และออกจำหน่ายในปี 2011 เป็นต้น
ตัวอย่างของโครงข่ายประสาทเทียม เรารวบรวมข้อมูลระยะเบรกของรถยนต์ในช่วง 20 ปีที่ผ่านมา ตามยี่ห้อและปี เราได้รวบรวมตารางในรูปแบบ "ปีที่ผลิตของการผลิต-ระยะเบรก" เราออกตารางนี้ให้กับโครงข่ายประสาทเทียมและเริ่มสอนมัน การฝึกอบรมดำเนินการดังนี้: เราป้อนข้อมูลไปยังโครงข่ายประสาทเทียม แต่ไม่มีเส้นทางเบรก เซลล์ประสาทพยายามคาดเดาว่าระยะเบรกจะเป็นอย่างไรโดยพิจารณาจากตารางที่โหลดเข้าไป ทำนายบางสิ่งและถามผู้ใช้ว่า “ฉันพูดถูกไหม” ก่อนถามคำถาม เธอสร้างคอลัมน์ที่สี่ขึ้นมา คอลัมน์ทายผล หากเธอพูดถูก เธอจะเขียน 1 ในคอลัมน์ที่สี่ หากเธอผิด เธอจะเขียน 0 โครงข่ายประสาทเทียมจะเคลื่อนไปยังเหตุการณ์ถัดไป (แม้ว่าจะทำผิดพลาดก็ตาม) นี่คือวิธีที่เครือข่ายเรียนรู้และเมื่อการฝึกอบรมเสร็จสิ้น (ถึงเกณฑ์การลู่เข้าที่แน่นอน) เราจะส่งข้อมูลเกี่ยวกับรถที่เราสนใจและในที่สุดก็ได้รับคำตอบ
หากต้องการลบคำถามเกี่ยวกับเกณฑ์การลู่เข้า ผมจะอธิบายว่านี่เป็นสูตรทางคณิตศาสตร์สำหรับสถิติ ตัวอย่างที่ชัดเจนของสูตรการลู่เข้าที่แตกต่างกันสองสูตร สีแดง – การลู่เข้าแบบไบนารี สีน้ำเงิน – การลู่เข้าแบบปกติ
การแจกแจงความน่าจะเป็นแบบทวินามและแบบปกติ
เพื่อให้ชัดเจนยิ่งขึ้น ให้ถามคำถาม “ความน่าจะเป็นที่จะพบไดโนเสาร์เป็นเท่าใด” มี 2 คำตอบที่เป็นไปได้ที่นี่ ตัวเลือก 1 – เล็กมาก (กราฟสีน้ำเงิน) ตัวเลือกที่ 2 – ประชุมหรือไม่ก็ได้ (กราฟสีแดง)
แน่นอนว่าคอมพิวเตอร์ไม่ใช่บุคคลและเรียนรู้แตกต่างออกไป การฝึกม้าเหล็กมี 2 ประเภท: การเรียนรู้ตามกรณี и การเรียนรู้แบบนิรนัย.
การสอนตามแบบอย่างเป็นวิธีการสอนโดยใช้กฎทางคณิตศาสตร์ นักคณิตศาสตร์รวบรวมตารางสถิติ สรุปผล และโหลดผลลัพธ์ลงในโครงข่ายประสาทเทียม ซึ่งเป็นสูตรสำหรับการคำนวณ
การเรียนรู้แบบนิรนัย - การเรียนรู้เกิดขึ้นในเซลล์ประสาททั้งหมด (ตั้งแต่การรวบรวมข้อมูลไปจนถึงการวิเคราะห์) ที่นี่ตารางจะถูกสร้างขึ้นโดยไม่มีสูตร แต่มีสถิติ
ภาพรวมกว้างๆ ของเทคโนโลยีอาจต้องใช้บทความอีกสองสามบทความ สำหรับตอนนี้ก็เพียงพอแล้วสำหรับความเข้าใจทั่วไปของเรา
ความยืดหยุ่นของระบบประสาท
ในทางชีววิทยามีแนวคิดเช่นนี้ - ความยืดหยุ่นของระบบประสาท ความยืดหยุ่นของระบบประสาทคือความสามารถของเซลล์ประสาท (เซลล์สมอง) ในการดำเนินการ "ตามสถานการณ์" เช่น คนที่สูญเสียการมองเห็นจะได้ยินเสียง กลิ่น และประสาทสัมผัสต่างๆ ได้ดีขึ้น สิ่งนี้เกิดขึ้นเนื่องจากส่วนหนึ่งของสมอง (ส่วนหนึ่งของเซลล์ประสาท) ที่รับผิดชอบในการมองเห็นจะแจกจ่ายงานของตนไปยังฟังก์ชันอื่น ๆ
ตัวอย่างที่เด่นชัดของความยืดหยุ่นของระบบประสาทในชีวิตคือ BrainPort lollipop
ในปี 2009 มหาวิทยาลัยวิสคอนซินที่เมดิสันได้ประกาศเปิดตัวอุปกรณ์ใหม่ที่พัฒนาแนวคิดเกี่ยวกับ "การแสดงภาษา" - เรียกว่า BrainPort BrainPort ทำงานตามอัลกอริธึมต่อไปนี้: สัญญาณวิดีโอจะถูกส่งจากกล้องไปยังโปรเซสเซอร์ ซึ่งควบคุมการซูม ความสว่าง และพารามิเตอร์ภาพอื่นๆ นอกจากนี้ยังแปลงสัญญาณดิจิทัลเป็นแรงกระตุ้นทางไฟฟ้า ซึ่งเข้ามาแทนที่การทำงานของเรตินาเป็นหลัก
อมยิ้ม BrainPort พร้อมแว่นตาและกล้อง
BrainPort ในที่ทำงาน
เช่นเดียวกับคอมพิวเตอร์ หากโครงข่ายประสาทเทียมสัมผัสได้ถึงการเปลี่ยนแปลงในกระบวนการ กระบวนการก็จะปรับตามนั้น นี่คือข้อได้เปรียบที่สำคัญของโครงข่ายประสาทเทียมเมื่อเปรียบเทียบกับอัลกอริธึมอื่นๆ นั่นคือความเป็นอิสระ มนุษยชาติชนิดหนึ่ง
การวิเคราะห์การรับส่งข้อมูลที่เข้ารหัส
การวิเคราะห์การรับส่งข้อมูลที่เข้ารหัสเป็นส่วนหนึ่งของระบบ Stealthwatch Stealthwatch เป็นการก้าวเข้าสู่โซลูชันการตรวจสอบและวิเคราะห์ความปลอดภัยของ Cisco ที่ใช้ประโยชน์จากข้อมูลการวัดและส่งข้อมูลทางไกลระดับองค์กรจากโครงสร้างพื้นฐานเครือข่ายที่มีอยู่
Stealthwatch Enterprise อิงตามสิทธิ์การใช้งาน Flow Rate, Flow Collector, Management Console และเครื่องมือ Flow Sensor
อินเทอร์เฟซ Cisco Stealthwatch
ปัญหาเกี่ยวกับการเข้ารหัสเริ่มรุนแรงมากเนื่องจากมีการเข้ารหัสการรับส่งข้อมูลมากขึ้น ก่อนหน้านี้มีเพียงรหัสเท่านั้นที่ถูกเข้ารหัส (ส่วนใหญ่) แต่ตอนนี้การรับส่งข้อมูลทั้งหมดได้รับการเข้ารหัสและการแยกข้อมูลที่ "สะอาด" ออกจากไวรัสกลายเป็นเรื่องยากมากขึ้น ตัวอย่างที่เด่นชัดคือ WannaCry ซึ่งใช้ Tor เพื่อซ่อนสถานะออนไลน์
การแสดงภาพการเติบโตของการเข้ารหัสการรับส่งข้อมูลบนเครือข่าย
การเข้ารหัสในเศรษฐศาสตร์มหภาค
ระบบการวิเคราะห์การรับส่งข้อมูลที่เข้ารหัส (ETA) จำเป็นอย่างยิ่งสำหรับการทำงานกับการรับส่งข้อมูลที่เข้ารหัสโดยไม่ต้องถอดรหัส ผู้โจมตีฉลาดและใช้อัลกอริธึมการเข้ารหัสที่ทนต่อการเข้ารหัสลับ และการทำลายพวกมันไม่เพียงแต่เป็นปัญหาเท่านั้น แต่ยังมีราคาแพงมากสำหรับองค์กรอีกด้วย
ระบบทำงานดังนี้ รถติดมาบริษัทบ้าง มันอยู่ใน TLS (การรักษาความปลอดภัยเลเยอร์การขนส่ง) สมมติว่าการรับส่งข้อมูลถูกเข้ารหัส เรากำลังพยายามตอบคำถามหลายข้อเกี่ยวกับประเภทของการเชื่อมต่อที่เกิดขึ้น
ระบบวิเคราะห์การรับส่งข้อมูลที่เข้ารหัส (ETA) ทำงานอย่างไร
เพื่อตอบคำถามเหล่านี้ เราใช้การเรียนรู้ของเครื่องในระบบนี้ การวิจัยจาก Cisco ถูกนำมาใช้และจากการศึกษาเหล่านี้ ตารางจะถูกสร้างขึ้นจากผลลัพธ์ 2 รายการ - การรับส่งข้อมูลที่เป็นอันตรายและการรับส่งข้อมูล "ดี" แน่นอนว่าเราไม่ทราบแน่ชัดว่าการรับส่งข้อมูลประเภทใดเข้าสู่ระบบโดยตรงในขณะนั้น แต่เราสามารถติดตามประวัติการรับส่งข้อมูลทั้งภายในและภายนอกบริษัทโดยใช้ข้อมูลจากเวทีโลก เมื่อสิ้นสุดขั้นตอนนี้ เราจะได้ตารางขนาดใหญ่พร้อมข้อมูล
จากผลการศึกษาพบว่ามีการระบุคุณลักษณะเฉพาะ - กฎบางอย่างที่สามารถเขียนลงในรูปแบบทางคณิตศาสตร์ได้ กฎเหล่านี้จะแตกต่างกันอย่างมากขึ้นอยู่กับเกณฑ์ที่แตกต่างกัน - ขนาดของไฟล์ที่ถ่ายโอน ประเภทของการเชื่อมต่อ ประเทศที่การรับส่งข้อมูลนี้มา ฯลฯ จากผลงานดังกล่าว โต๊ะขนาดใหญ่ก็กลายเป็นชุดสูตรมากมาย มีน้อยกว่า แต่ก็ไม่เพียงพอสำหรับการทำงานที่สะดวกสบาย
ต่อไป เทคโนโลยีการเรียนรู้ของเครื่องจักรถูกนำไปใช้ - การลู่เข้าของสูตร และตามผลลัพธ์ของการลู่เข้า เราจะได้ทริกเกอร์ - สวิตช์ ซึ่งเมื่อข้อมูลถูกส่งออก เราจะได้รับสวิตช์ (แฟล็ก) ในตำแหน่งที่ยกขึ้นหรือลดลง
ขั้นตอนผลลัพธ์คือการได้รับชุดทริกเกอร์ที่ครอบคลุม 99% ของการรับส่งข้อมูล
ขั้นตอนการตรวจสอบการจราจรในการทางพิเศษแห่งประเทศไทย
ผลจากการทำงาน ปัญหาอีกประการหนึ่งก็ได้รับการแก้ไข - การโจมตีจากภายใน ไม่จำเป็นต้องมีคนที่อยู่ตรงกลางกรองการรับส่งข้อมูลด้วยตนเองอีกต่อไป (ณ จุดนี้ฉันกำลังจมอยู่กับตัวเอง) ประการแรกคุณไม่จำเป็นต้องใช้เงินจำนวนมากกับผู้ดูแลระบบที่มีความสามารถอีกต่อไป (ฉันยังคงจมอยู่กับตัวเองต่อไป) ประการที่สอง ไม่มีอันตรายจากการแฮ็กจากภายใน (อย่างน้อยก็บางส่วน)
แนวคิด Man-in-the-Middle ที่ล้าสมัย
ทีนี้ เรามาดูกันว่าระบบมีพื้นฐานมาจากอะไร
ระบบทำงานบนโปรโตคอลการสื่อสาร 4 โปรโตคอล: TCP/IP – โปรโตคอลการถ่ายโอนข้อมูลอินเทอร์เน็ต, DNS – เซิร์ฟเวอร์ชื่อโดเมน, TLS – โปรโตคอลความปลอดภัยเลเยอร์การขนส่ง, SPLT (เครื่องทดสอบเลเยอร์ทางกายภาพของ SpaceWire) – เครื่องทดสอบเลเยอร์การสื่อสารทางกายภาพ
โปรโตคอลที่ทำงานร่วมกับ ETA
การเปรียบเทียบทำได้โดยการเปรียบเทียบข้อมูล เมื่อใช้โปรโตคอล TCP/IP ชื่อเสียงของไซต์จะถูกตรวจสอบ (ประวัติการเข้าชม วัตถุประสงค์ในการสร้างไซต์ ฯลฯ) ต้องขอบคุณโปรโตคอล DNS ที่ทำให้เรายกเลิกที่อยู่ไซต์ที่ "ไม่ดี" ได้ โปรโตคอล TLS ทำงานร่วมกับลายนิ้วมือของไซต์และตรวจสอบไซต์กับทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ (ใบรับรอง) ขั้นตอนสุดท้ายในการตรวจสอบการเชื่อมต่อคือการตรวจสอบในระดับกายภาพ รายละเอียดของขั้นตอนนี้ไม่ได้ระบุ แต่มีประเด็นดังนี้ การตรวจสอบเส้นโค้งไซน์และโคไซน์ของเส้นโค้งการส่งข้อมูลในการติดตั้งออสซิลโลแกรม เช่น ด้วยโครงสร้างของคำขอที่ชั้นกายภาพ เราจึงกำหนดวัตถุประสงค์ของการเชื่อมต่อได้
จากการทำงานของระบบ เราสามารถรับข้อมูลจากการรับส่งข้อมูลที่เข้ารหัสได้ ด้วยการตรวจสอบแพ็กเก็ต เราสามารถอ่านข้อมูลได้มากที่สุดเท่าที่จะเป็นไปได้จากฟิลด์ที่ไม่ได้เข้ารหัสในแพ็กเก็ตนั้นเอง โดยการตรวจสอบแพ็กเก็ตที่ชั้นกายภาพ เราจะพบลักษณะของแพ็กเก็ต (บางส่วนหรือทั้งหมด) นอกจากนี้อย่าลืมเกี่ยวกับชื่อเสียงของเว็บไซต์ด้วย หากคำขอมาจากแหล่งที่มาของ .onion คุณไม่ควรเชื่อถือคำขอนั้น เพื่อให้ง่ายต่อการทำงานกับข้อมูลประเภทนี้ จึงได้สร้างแผนที่ความเสี่ยงขึ้น
ผลงานการทางพิเศษแห่งประเทศไทย
และดูเหมือนทุกอย่างจะเรียบร้อยดี แต่มาพูดถึงการปรับใช้เครือข่ายกันดีกว่า
การใช้งานทางกายภาพของการทางพิเศษแห่งประเทศไทย
ความแตกต่างและรายละเอียดปลีกย่อยหลายประการเกิดขึ้นที่นี่ ประการแรกเมื่อสร้างประเภทนี้
เครือข่ายที่มีซอฟต์แวร์ระดับสูงจำเป็นต้องมีการรวบรวมข้อมูล รวบรวมข้อมูลด้วยตนเองอย่างสมบูรณ์
ดุร้าย แต่การนำระบบตอบสนองมาใช้นั้นน่าสนใจกว่าอยู่แล้ว ประการที่สองข้อมูล
ควรมีมากซึ่งหมายความว่าเซ็นเซอร์เครือข่ายที่ติดตั้งจะต้องทำงาน
ไม่เพียงแต่อัตโนมัติเท่านั้น แต่ยังอยู่ในโหมดที่ได้รับการปรับแต่งอย่างละเอียดซึ่งสร้างปัญหามากมาย
เซ็นเซอร์และระบบ Stealthwatch
การติดตั้งเซ็นเซอร์ก็เรื่องหนึ่ง แต่การตั้งค่าเป็นงานที่แตกต่างไปจากเดิมอย่างสิ้นเชิง ในการกำหนดค่าเซ็นเซอร์ มีความซับซ้อนที่ทำงานตามโทโพโลยีต่อไปนี้ - ISR = Cisco Integrated Services Router; ASR = เราเตอร์บริการรวมของ Cisco; CSR = เราเตอร์บริการคลาวด์ของ Cisco; WLC = คอนโทรลเลอร์ LAN ไร้สายของ Cisco; IE = สวิตช์อีเธอร์เน็ตอุตสาหกรรมของ Cisco; ASA = อุปกรณ์รักษาความปลอดภัยแบบปรับตัวของ Cisco; FTD = โซลูชันการป้องกันภัยคุกคามของ Cisco Firepower; WSA = อุปกรณ์รักษาความปลอดภัยบนเว็บ; ISE = โปรแกรมบริการข้อมูลประจำตัว
การตรวจสอบที่ครอบคลุมโดยคำนึงถึงข้อมูลทางไกลใดๆ
ผู้ดูแลระบบเครือข่ายเริ่มพบกับภาวะหัวใจเต้นผิดจังหวะจากจำนวนคำว่า "Cisco" ในย่อหน้าก่อนหน้า ราคาของปาฏิหาริย์นี้ไม่ใช่น้อย แต่นั่นไม่ใช่สิ่งที่เรากำลังพูดถึงในวันนี้...
พฤติกรรมของแฮกเกอร์จะถูกจำลองดังนี้ Stealthwatch จะตรวจสอบกิจกรรมของอุปกรณ์ทุกชิ้นบนเครือข่ายอย่างระมัดระวัง และสามารถสร้างรูปแบบการทำงานปกติได้ นอกจากนี้ โซลูชันนี้ยังให้ข้อมูลเชิงลึกเกี่ยวกับพฤติกรรมที่ไม่เหมาะสมที่ทราบอีกด้วย โซลูชันนี้ใช้อัลกอริธึมการวิเคราะห์หรือการวิเคราะห์พฤติกรรมที่แตกต่างกันประมาณ 100 รายการ ซึ่งจัดการกับพฤติกรรมการรับส่งข้อมูลประเภทต่างๆ เช่น การสแกน เฟรมสัญญาณเตือนของโฮสต์ การเข้าสู่ระบบแบบ brute-force การจับข้อมูลที่สงสัย การรั่วไหลของข้อมูลที่น่าสงสัย ฯลฯ เหตุการณ์ด้านความปลอดภัยที่แสดงอยู่ในหมวดหมู่ของการเตือนแบบลอจิคัลระดับสูง กิจกรรมด้านความปลอดภัยบางอย่างสามารถส่งสัญญาณเตือนได้ด้วยตัวเอง ดังนั้น ระบบจึงสามารถเชื่อมโยงเหตุการณ์ผิดปกติหลายๆ เหตุการณ์ที่แยกได้ และนำมารวมกันเพื่อระบุประเภทการโจมตีที่เป็นไปได้ รวมทั้งเชื่อมโยงกับอุปกรณ์และผู้ใช้เฉพาะ (รูปที่ 2) ในอนาคต สามารถศึกษาเหตุการณ์ดังกล่าวได้เมื่อเวลาผ่านไป และคำนึงถึงข้อมูลการวัดและส่งข้อมูลทางไกลที่เกี่ยวข้อง นี่เป็นข้อมูลเชิงบริบทที่ดีที่สุด แพทย์ตรวจคนไข้เพื่อทำความเข้าใจว่ามีอะไรผิดปกติ อย่าดูอาการแยกจากกัน พวกเขามองภาพใหญ่เพื่อทำการวินิจฉัย ในทำนองเดียวกัน Stealthwatch จะบันทึกทุกกิจกรรมที่ผิดปกติบนเครือข่ายและตรวจสอบแบบองค์รวมเพื่อส่งการแจ้งเตือนตามบริบท ดังนั้นจึงช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยจัดลำดับความสำคัญของความเสี่ยง
การตรวจจับความผิดปกติโดยใช้การสร้างแบบจำลองพฤติกรรม
การปรับใช้ทางกายภาพของเครือข่ายมีลักษณะดังนี้:
ตัวเลือกการปรับใช้เครือข่ายสาขา (แบบง่าย)
ตัวเลือกการปรับใช้เครือข่ายสาขา
เครือข่ายถูกปรับใช้แล้ว แต่คำถามเกี่ยวกับเซลล์ประสาทยังคงเปิดอยู่ พวกเขาจัดเครือข่ายการรับส่งข้อมูล ติดตั้งเซ็นเซอร์บนธรณีประตู และเปิดตัวระบบรวบรวมข้อมูล แต่เซลล์ประสาทไม่ได้มีส่วนร่วมในเรื่องนี้ ลาก่อน.
โครงข่ายประสาทเทียมหลายชั้น
ระบบวิเคราะห์พฤติกรรมของผู้ใช้และอุปกรณ์เพื่อตรวจจับการติดไวรัสที่เป็นอันตราย การสื่อสารกับเซิร์ฟเวอร์คำสั่งและการควบคุม ข้อมูลรั่วไหล และแอปพลิเคชันที่อาจไม่พึงประสงค์ที่ทำงานในโครงสร้างพื้นฐานขององค์กร มีการประมวลผลข้อมูลหลายชั้นที่การผสมผสานระหว่างปัญญาประดิษฐ์ การเรียนรู้ของเครื่อง และเทคนิคทางสถิติทางคณิตศาสตร์ช่วยให้เครือข่ายเรียนรู้กิจกรรมปกติด้วยตนเองเพื่อให้สามารถตรวจจับกิจกรรมที่เป็นอันตรายได้
ไปป์ไลน์การวิเคราะห์ความปลอดภัยของเครือข่าย ซึ่งรวบรวมข้อมูลการวัดและส่งข้อมูลทางไกลจากทุกส่วนของเครือข่ายที่ขยาย รวมถึงการรับส่งข้อมูลที่เข้ารหัส เป็นคุณสมบัติเฉพาะของ Stealthwatch โดยจะพัฒนาความเข้าใจทีละน้อยว่าอะไรคือ “ความผิดปกติ” จากนั้นจึงจัดหมวดหมู่องค์ประกอบแต่ละส่วนของ “กิจกรรมภัยคุกคาม” และสุดท้ายจะตัดสินขั้นสุดท้ายว่าอุปกรณ์หรือผู้ใช้ถูกบุกรุกจริงหรือไม่ ความสามารถในการปะติดปะต่อชิ้นส่วนเล็กๆ ที่รวมกันเป็นหลักฐานเพื่อตัดสินใจขั้นสุดท้ายว่าสินทรัพย์ถูกบุกรุกหรือไม่นั้นมาจากการวิเคราะห์และความสัมพันธ์อย่างระมัดระวัง
ความสามารถนี้มีความสำคัญเนื่องจากธุรกิจทั่วไปอาจได้รับการแจ้งเตือนจำนวนมากทุกวัน และเป็นไปไม่ได้ที่จะตรวจสอบทุกการแจ้งเตือน เนื่องจากผู้เชี่ยวชาญด้านความปลอดภัยมีทรัพยากรที่จำกัด โมดูลแมชชีนเลิร์นนิงจะประมวลผลข้อมูลจำนวนมหาศาลในเวลาใกล้เคียงเรียลไทม์เพื่อระบุเหตุการณ์สำคัญด้วยความมั่นใจในระดับสูง และยังสามารถให้แนวทางปฏิบัติที่ชัดเจนเพื่อการแก้ไขที่รวดเร็วอีกด้วย
เรามาดูรายละเอียดเกี่ยวกับเทคนิคการเรียนรู้ของเครื่องมากมายที่ Stealthwatch ใช้กันดีกว่า เมื่อเหตุการณ์ถูกส่งไปยังกลไกการเรียนรู้ของเครื่องของ Stealthwatch เหตุการณ์จะผ่านช่องทางการวิเคราะห์ความปลอดภัยที่ใช้การผสมผสานระหว่างเทคนิคการเรียนรู้ของเครื่องที่มีการควบคุมดูแลและไม่ได้รับการควบคุมดูแล
ความสามารถในการเรียนรู้ของเครื่องหลายระดับ
ระดับ 1. การตรวจจับความผิดปกติและการสร้างแบบจำลองความน่าเชื่อถือ
ในระดับนี้ 99% ของการรับส่งข้อมูลจะถูกยกเลิกโดยใช้เครื่องตรวจจับความผิดปกติทางสถิติ เซ็นเซอร์เหล่านี้ร่วมกันสร้างแบบจำลองที่ซับซ้อนของสิ่งที่เป็นเรื่องปกติและสิ่งที่ตรงกันข้ามคือสิ่งผิดปกติ อย่างไรก็ตาม ความผิดปกติไม่จำเป็นต้องเป็นอันตรายเสมอไป สิ่งที่เกิดขึ้นมากมายบนเครือข่ายของคุณไม่เกี่ยวข้องกับภัยคุกคามเลย มันแปลกมาก สิ่งสำคัญคือต้องจำแนกกระบวนการดังกล่าวโดยไม่คำนึงถึงพฤติกรรมที่คุกคาม ด้วยเหตุนี้ ผลลัพธ์ของเครื่องตรวจจับดังกล่าวจึงได้รับการวิเคราะห์เพิ่มเติมเพื่อจับพฤติกรรมแปลกๆ ที่สามารถอธิบายและเชื่อถือได้ได้ ท้ายที่สุดแล้ว โฟลว์และคำขอที่สำคัญที่สุดเพียงส่วนเล็กๆ เท่านั้นที่จะย้ายไปยังเลเยอร์ 2 และ 3 หากไม่มีการใช้เทคนิคการเรียนรู้ของเครื่องดังกล่าว ค่าใช้จ่ายในการแยกสัญญาณออกจากสัญญาณรบกวนจะสูงเกินไป
การตรวจจับความผิดปกติ ขั้นตอนแรกในการตรวจจับความผิดปกติจะใช้เทคนิคการเรียนรู้ของเครื่องทางสถิติเพื่อแยกการรับส่งข้อมูลปกติทางสถิติออกจากการรับส่งข้อมูลที่ผิดปกติ อุปกรณ์ตรวจจับมากกว่า 70 เครื่องจะประมวลผลข้อมูลการตรวจวัดทางไกลที่ Stealthwatch รวบรวมจากการรับส่งข้อมูลที่ผ่านขอบเขตเครือข่ายของคุณ โดยแยกการรับส่งข้อมูลของระบบชื่อโดเมน (DNS) ภายในออกจากข้อมูลพร็อกซีเซิร์ฟเวอร์ ถ้ามี แต่ละคำขอได้รับการประมวลผลโดยตัวตรวจจับมากกว่า 70 ตัว โดยตัวตรวจจับแต่ละตัวจะใช้อัลกอริธึมทางสถิติของตัวเองเพื่อสร้างการประเมินความผิดปกติที่ตรวจพบ คะแนนเหล่านี้จะรวมกันและใช้วิธีการทางสถิติหลายวิธีเพื่อสร้างคะแนนเดียวสำหรับการสืบค้นแต่ละรายการ คะแนนรวมนี้จะใช้เพื่อแยกการเข้าชมปกติและการเข้าชมที่ผิดปกติ
การสร้างแบบจำลองความไว้วางใจ จากนั้น คำขอที่คล้ายกันจะถูกจัดกลุ่ม และคะแนนความผิดปกติรวมสำหรับกลุ่มดังกล่าวจะถูกกำหนดเป็นค่าเฉลี่ยระยะยาว เมื่อเวลาผ่านไป มีการวิเคราะห์คำค้นหามากขึ้นเพื่อกำหนดค่าเฉลี่ยระยะยาว ซึ่งช่วยลดผลบวกลวงและผลลบลวง ผลลัพธ์การสร้างแบบจำลองความน่าเชื่อถือจะใช้เพื่อเลือกชุดย่อยของการรับส่งข้อมูลที่มีคะแนนความผิดปกติเกินเกณฑ์ที่กำหนดแบบไดนามิกเพื่อย้ายไปยังระดับการประมวลผลถัดไป
ระดับ 2. การจำแนกเหตุการณ์และการสร้างแบบจำลองวัตถุ
ในระดับนี้ ผลลัพธ์ที่ได้รับในขั้นตอนก่อนหน้าจะถูกจัดประเภทและกำหนดให้กับเหตุการณ์ที่เป็นอันตรายโดยเฉพาะ เหตุการณ์จะถูกจัดประเภทตามค่าที่กำหนดโดยตัวแยกประเภทแมชชีนเลิร์นนิงเพื่อให้แน่ใจว่าอัตราความแม่นยำสม่ำเสมอสูงกว่า 90% ในหมู่พวกเขา:
- แบบจำลองเชิงเส้นที่อิงตามบทแทรกเนย์แมน-เพียร์สัน (กฎการแจกแจงแบบปกติจากกราฟตอนต้นบทความ)
- สนับสนุนเครื่องเวกเตอร์โดยใช้การเรียนรู้หลายตัวแปร
- โครงข่ายประสาทเทียมและอัลกอริธึมฟอเรสต์แบบสุ่ม
เหตุการณ์ความปลอดภัยที่แยกออกมาเหล่านี้จะเชื่อมโยงกับจุดสิ้นสุดเดียวเมื่อเวลาผ่านไป ในขั้นตอนนี้เองที่คำอธิบายภัยคุกคามถูกสร้างขึ้น โดยพิจารณาจากภาพที่สมบูรณ์ว่าผู้โจมตีที่เกี่ยวข้องจัดการอย่างไรเพื่อให้ได้ผลลัพธ์ที่แน่นอน
การจำแนกประเภทของเหตุการณ์ ชุดย่อยที่ผิดปกติทางสถิติจากระดับก่อนหน้าถูกกระจายออกเป็น 100 หมวดหมู่ขึ้นไปโดยใช้ตัวแยกประเภท ตัวแยกประเภทส่วนใหญ่ขึ้นอยู่กับพฤติกรรมส่วนบุคคล ความสัมพันธ์แบบกลุ่ม หรือพฤติกรรมในระดับโลกหรือระดับท้องถิ่น ในขณะที่ตัวแยกประเภทอื่นๆ สามารถค่อนข้างเฉพาะเจาะจงได้ ตัวอย่างเช่น ตัวแยกประเภทอาจระบุการรับส่งข้อมูล C&C ส่วนขยายที่น่าสงสัย หรือการอัปเดตซอฟต์แวร์ที่ไม่ได้รับอนุญาต จากผลลัพธ์ของขั้นตอนนี้ จะเกิดชุดเหตุการณ์ผิดปกติในระบบรักษาความปลอดภัย ซึ่งแบ่งออกเป็นบางหมวดหมู่
การสร้างแบบจำลองวัตถุ หากจำนวนหลักฐานที่สนับสนุนสมมติฐานที่ว่าวัตถุนั้นเป็นอันตรายเกินเกณฑ์ที่มีนัยสำคัญ ภัยคุกคามจะถูกกำหนด เหตุการณ์ที่เกี่ยวข้องซึ่งมีอิทธิพลต่อคำจำกัดความของภัยคุกคามมีความเกี่ยวข้องกับภัยคุกคามดังกล่าวและกลายเป็นส่วนหนึ่งของแบบจำลองระยะยาวของวัตถุที่ไม่ต่อเนื่อง เนื่องจากหลักฐานสะสมเมื่อเวลาผ่านไป ระบบจะระบุภัยคุกคามใหม่ๆ เมื่อถึงเกณฑ์ที่มีนัยสำคัญ ค่าเกณฑ์นี้เป็นแบบไดนามิกและได้รับการปรับเปลี่ยนอย่างชาญฉลาดตามระดับความเสี่ยงภัยคุกคามและปัจจัยอื่นๆ หลังจากนั้น ภัยคุกคามจะปรากฏบนแผงข้อมูลของเว็บอินเทอร์เฟซ และถูกถ่ายโอนไปยังระดับถัดไป
ระดับ 3. การสร้างแบบจำลองความสัมพันธ์
วัตถุประสงค์ของการสร้างแบบจำลองความสัมพันธ์คือการสังเคราะห์ผลลัพธ์ที่ได้รับในระดับก่อนหน้าจากมุมมองระดับโลก โดยคำนึงถึงไม่เพียงแต่ในท้องถิ่นเท่านั้น แต่ยังรวมถึงบริบทระดับโลกของเหตุการณ์ที่เกี่ยวข้องด้วย ในขั้นตอนนี้ คุณจะสามารถระบุได้ว่ามีองค์กรจำนวนเท่าใดที่เผชิญกับการโจมตีดังกล่าว เพื่อทำความเข้าใจว่าการโจมตีดังกล่าวมุ่งเป้าไปที่คุณโดยเฉพาะหรือเป็นส่วนหนึ่งของแคมเปญระดับโลก และคุณเพิ่งถูกจับได้
เหตุการณ์ได้รับการยืนยันหรือค้นพบ เหตุการณ์ที่ได้รับการตรวจสอบแสดงถึงความมั่นใจ 99 ถึง 100% เนื่องจากก่อนหน้านี้เทคนิคและเครื่องมือที่เกี่ยวข้องได้รับการสังเกตในการดำเนินการในวงกว้าง (ทั่วโลก) เหตุการณ์ที่ตรวจพบจะไม่ซ้ำกันสำหรับคุณและเป็นส่วนหนึ่งของแคมเปญที่มีการกำหนดเป้าหมายสูง การค้นพบในอดีตจะถูกแบ่งปันกับแนวทางปฏิบัติที่ทราบ ซึ่งจะช่วยประหยัดเวลาและทรัพยากรในการตอบสนอง มาพร้อมกับเครื่องมือสืบสวนที่คุณต้องทำความเข้าใจว่าใครโจมตีคุณและขอบเขตที่แคมเปญกำหนดเป้าหมายไปที่ธุรกิจดิจิทัลของคุณ ดังที่คุณสามารถจินตนาการได้ จำนวนเหตุการณ์ที่ยืนยันแล้วมีมากกว่าจำนวนเหตุการณ์ที่ตรวจพบอย่างมาก ด้วยเหตุผลง่ายๆ ที่ว่าเหตุการณ์ที่ยืนยันนั้นไม่เกี่ยวข้องกับผู้โจมตีที่เสียค่าใช้จ่ายมากนัก ในขณะที่เหตุการณ์ที่ตรวจพบนั้นทำ
มีราคาแพงเพราะต้องใหม่และปรับแต่งเอง ด้วยการสร้างความสามารถในการระบุเหตุการณ์ที่ได้รับการยืนยัน ในที่สุดเศรษฐศาสตร์ของเกมก็เปลี่ยนไปเป็นฝ่ายตั้งรับในที่สุด ทำให้พวกเขาได้เปรียบอย่างชัดเจน
การฝึกอบรมหลายระดับของระบบการเชื่อมต่อนิวรัลตาม ETA
แผนที่ความเสี่ยงทั่วโลก
แผนที่ความเสี่ยงทั่วโลกถูกสร้างขึ้นผ่านการวิเคราะห์ที่ใช้โดยอัลกอริธึมการเรียนรู้ของเครื่องกับชุดข้อมูลประเภทนี้ที่ใหญ่ที่สุดแห่งหนึ่งในอุตสาหกรรม มีสถิติพฤติกรรมที่ครอบคลุมเกี่ยวกับเซิร์ฟเวอร์บนอินเทอร์เน็ต แม้ว่าจะไม่ทราบก็ตาม เซิร์ฟเวอร์ดังกล่าวเกี่ยวข้องกับการโจมตีและอาจเกี่ยวข้องหรือใช้เป็นส่วนหนึ่งของการโจมตีในอนาคต นี่ไม่ใช่ "บัญชีดำ" แต่เป็นภาพรวมของเซิร์ฟเวอร์ที่เป็นปัญหาจากมุมมองด้านความปลอดภัย ข้อมูลเชิงบริบทเกี่ยวกับกิจกรรมของเซิร์ฟเวอร์เหล่านี้ช่วยให้เครื่องตรวจจับและตัวแยกประเภทการเรียนรู้ของเครื่องของ Stealthwatch สามารถคาดการณ์ระดับความเสี่ยงที่เกี่ยวข้องกับการสื่อสารกับเซิร์ฟเวอร์ดังกล่าวได้อย่างแม่นยำ
คุณสามารถดูการ์ดที่มีอยู่ .
แผนที่โลกแสดงที่อยู่ IP 460 ล้านที่อยู่
ตอนนี้เครือข่ายเรียนรู้และยืนหยัดเพื่อปกป้องเครือข่ายของคุณ
ในที่สุดก็ได้ค้นพบยาครอบจักรวาลแล้ว?
แต่น่าเสียดายที่ ไม่. จากประสบการณ์การทำงานกับระบบบอกได้เลยว่ามีปัญหาระดับโลกอยู่ 2 ปัญหา
ปัญหาที่ 1. ราคา. เครือข่ายทั้งหมดถูกปรับใช้บนระบบของ Cisco นี่เป็นทั้งดีและไม่ดี ด้านดีคือคุณไม่ต้องกังวลและติดตั้งปลั๊กจำนวนมาก เช่น D-Link, MikroTik ฯลฯ ข้อเสียคือต้นทุนมหาศาลของระบบ เมื่อพิจารณาถึงสถานะทางเศรษฐกิจของธุรกิจรัสเซีย ในปัจจุบัน มีเพียงเจ้าของที่ร่ำรวยของบริษัทหรือธนาคารขนาดใหญ่เท่านั้นที่สามารถจ่ายปาฏิหาริย์นี้ได้
ปัญหาที่ 2: การฝึกอบรม ฉันไม่ได้เขียนบทความถึงระยะเวลาการฝึกอบรมสำหรับโครงข่ายประสาทเทียม แต่ไม่ใช่เพราะมันไม่มีอยู่จริง แต่เป็นเพราะมันมีการเรียนรู้อยู่ตลอดเวลาและเราไม่สามารถคาดเดาได้ว่าจะเรียนรู้เมื่อใด แน่นอนว่า มีเครื่องมือทางสถิติทางคณิตศาสตร์อยู่มากมาย (ใช้สูตรเดียวกันกับเกณฑ์การบรรจบกันของเพียร์สัน) แต่สิ่งเหล่านี้เป็นเพียงการวัดเพียงครึ่งเดียว เราได้รับความน่าจะเป็นในการกรองการรับส่งข้อมูลและภายใต้เงื่อนไขที่การโจมตีนั้นเชี่ยวชาญและทราบแล้วเท่านั้น
แม้จะมีปัญหา 2 ประการนี้ แต่เราก็ได้ก้าวกระโดดครั้งใหญ่ในการพัฒนาความปลอดภัยของข้อมูลโดยทั่วไปและการปกป้องเครือข่ายโดยเฉพาะ ข้อเท็จจริงนี้สามารถสร้างแรงบันดาลใจให้กับการศึกษาเทคโนโลยีเครือข่ายและโครงข่ายประสาทเทียม ซึ่งปัจจุบันเป็นทิศทางที่น่าหวังมาก
ที่มา: will.com