Trafiğin şifresini çözmeden analiz etmek için bir sistem. Bu yönteme kısaca “makine öğrenimi” denir. Özel bir sınıflandırıcının girişine çok büyük miktarda çeşitli trafik beslenirse, sistemin şifrelenmiş trafik içindeki kötü amaçlı kod eylemlerini çok yüksek bir olasılıkla tespit edebildiği ortaya çıktı.
Çevrimiçi tehditler değişti ve daha akıllı hale geldi. Son zamanlarda saldırı ve savunma kavramı değişti. Ağdaki olayların sayısı önemli ölçüde arttı. Saldırılar daha karmaşık hale geldi ve bilgisayar korsanlarının erişim alanı daha geniş.
Cisco istatistiklerine göre saldırganlar, faaliyetleri için kullandıkları kötü amaçlı yazılım sayısını, daha doğrusu bunları gizlemek için şifrelemeyi geçen yıl üç katına çıkardı. Teoriden "doğru" şifreleme algoritmasının kırılamayacağı bilinmektedir. Şifrelenmiş trafiğin içinde neyin gizlendiğini anlamak için ya anahtarı bilerek şifreyi çözmek, ya çeşitli hileler kullanarak, doğrudan hackleyerek ya da kriptografik protokollerdeki bir tür güvenlik açıklarını kullanarak şifreyi çözmeye çalışmak gerekir.
Zamanımızın ağ tehditlerinin bir resmi
Makine öğrenme
Teknolojiyi bizzat tanıyın! Makine öğrenimi tabanlı şifre çözme teknolojisinin kendisinin nasıl çalıştığından bahsetmeden önce sinir ağı teknolojisinin nasıl çalıştığını anlamak gerekir.
Makine Öğrenimi, öğrenebilen algoritmalar oluşturma yöntemlerini inceleyen, yapay zekanın geniş bir alt bölümüdür. Bu bilim, bir bilgisayarı “eğitmek” için matematiksel modeller oluşturmayı amaçlamaktadır. Öğrenmenin amacı bir şeyi tahmin etmektir. İnsan anlayışında bu sürece kelime adını veriyoruz. "bilgelik". Bilgelik, oldukça uzun süre yaşamış insanlarda kendini gösterir (2 yaşında bir çocuk bilge olamaz). Kıdemli yoldaşlarımıza tavsiye için başvurduğumuzda, onlara olayla ilgili bazı bilgiler veriyoruz (girdi verileri) ve onlardan yardım istiyoruz. Onlar da, sizin sorununuzla (bilgi tabanı) bir şekilde ilgili olan hayattaki tüm durumları hatırlarlar ve bu bilgiye (verilere) dayanarak bize bir tür tahmin (tavsiye) verirler. Bu tür tavsiyelere tahmin denmeye başlandı çünkü tavsiyeyi veren kişi ne olacağını kesin olarak bilmiyor, sadece tahminde bulunuyor. Yaşam deneyimi, bir kişinin haklı olabileceğini veya haksız olabileceğini gösterir.
Sinir ağlarını dallanma algoritması (if-else) ile karşılaştırmamalısınız. Bunlar farklı şeylerdir ve önemli farklılıklar vardır. Dallanma algoritması ne yapılacağı konusunda net bir "anlayışa" sahiptir. Örneklerle göstereceğim.
Görev. Bir arabanın fren mesafesini markasına ve üretim yılına göre belirleyin.
Dallanma algoritmasına bir örnek. Bir araba marka 1 ise ve 2012 yılında piyasaya çıkmışsa fren mesafesi 10 metredir, aksi takdirde araba marka 2 ise ve 2011 yılında piyasaya sürülmüştür vb.
Bir sinir ağı örneği. Son 20 yılda arabaların fren mesafelerine ilişkin verileri topluyoruz. Marka ve yıla göre “üretim yılı-fren mesafesi” şeklinde bir tablo derliyoruz. Bu tabloyu sinir ağına veriyoruz ve öğretmeye başlıyoruz. Eğitim şu şekilde gerçekleştirilir: verileri sinir ağına besleriz, ancak frenleme yolu olmadan. Nöron, içine yüklenen tablaya göre fren mesafesinin ne kadar olacağını tahmin etmeye çalışır. Bir şeyi tahmin eder ve kullanıcıya "Haklı mıyım?" diye sorar. Sorudan önce dördüncü bir sütun olan tahmin sütununu oluşturur. Doğruysa dördüncü sütuna 1, yanlışsa 0 yazar. Sinir ağı (yanlış yapsa bile) bir sonraki olaya geçer. Ağ bu şekilde öğreniyor ve eğitim tamamlandığında (belirli bir yakınsama kriterine ulaşıldığında) ilgilendiğimiz arabaya ait verileri gönderiyoruz ve sonunda bir cevap alıyoruz.
Yakınsama kriteriyle ilgili soruyu ortadan kaldırmak için bunun istatistik için matematiksel olarak türetilmiş bir formül olduğunu açıklayacağım. İki farklı yakınsama formülünün çarpıcı bir örneği. Kırmızı – ikili yakınsama, mavi – normal yakınsama.
Binom ve normal olasılık dağılımları
Daha açık hale getirmek için “Bir dinozorla karşılaşma olasılığı nedir?” sorusunu sorun. Burada 2 olası cevap var. Seçenek 1 – çok küçük (mavi grafik). Seçenek 2 – toplantı olsun ya da olmasın (kırmızı grafik).
Elbette bilgisayar bir insan değildir ve farklı şekilde öğrenir. 2 tür demir at eğitimi vardır: vakaya dayalı öğrenme и tümdengelimli öğrenme.
Örnek yoluyla öğretim, matematik yasalarını kullanarak öğretimin bir yoludur. Matematikçiler istatistik tablolarını toplar, sonuçlar çıkarır ve sonucu bir hesaplama formülü olan sinir ağına yükler.
Tümdengelimli öğrenme - öğrenme tamamen nöronda gerçekleşir (veri toplanmasından analizine kadar). Burada formül olmadan istatistik içeren bir tablo oluşturulur.
Teknolojiye geniş bir genel bakış için birkaç düzine makale daha gerekir. Şimdilik genel anlayışımız için bu kadarı yeterli olacaktır.
Nöroplastisite
Biyolojide böyle bir kavram var: nöroplastisite. Nöroplastisite, nöronların (beyin hücrelerinin) “duruma göre” hareket edebilme yeteneğidir. Örneğin görme yetisini kaybeden bir kişi sesleri daha iyi duyar, koku alır ve nesneleri daha iyi hisseder. Bu, beynin görmeden sorumlu kısmının (nöronların bir kısmı) işini diğer işlevlere yeniden dağıtması nedeniyle oluşur.
Hayattaki nöroplastisitenin çarpıcı bir örneği BrainPort lolipopudur.
2009 yılında Madison'daki Wisconsin Üniversitesi, "dil ekranı" fikirlerini geliştiren yeni bir cihazın piyasaya sürüldüğünü duyurdu - buna BrainPort adı verildi. BrainPort aşağıdaki algoritmaya göre çalışır: video sinyali kameradan yakınlaştırmayı, parlaklığı ve diğer resim parametrelerini kontrol eden işlemciye gönderilir. Aynı zamanda dijital sinyalleri elektriksel darbelere dönüştürerek esas olarak retinanın işlevlerini üstlenir.
BrainPort lolipopu, gözlük ve kamerayla birlikte
BrainPort iş başında
Bilgisayarla aynı. Sinir ağı süreçte bir değişiklik algılarsa buna uyum sağlar. Bu, diğer algoritmalarla karşılaştırıldığında sinir ağlarının en önemli avantajıdır: özerklik. Bir nevi insanlık.
Şifreli Trafik Analizi
Şifreli Trafik Analizi Stealthwatch sisteminin bir parçasıdır. Stealthwatch, Cisco'nun mevcut ağ altyapısından kurumsal telemetri verilerinden yararlanan güvenlik izleme ve analiz çözümlerine girişidir.
Stealthwatch Enterprise, Akış Hızı Lisansı, Akış Toplayıcı, Yönetim Konsolu ve Akış Sensörü araçlarını temel alır.
Cisco Stealthwatch Arayüzü
Çok daha fazla trafiğin şifrelenmeye başlaması nedeniyle şifreleme sorunu çok ciddi hale geldi. Daha önce yalnızca kod şifreleniyordu (çoğunlukla), ancak artık tüm trafik şifreleniyor ve "temiz" verileri virüslerden ayırmak çok daha zor hale geldi. Çarpıcı bir örnek, Tor'u çevrimiçi varlığını gizlemek için kullanan WannaCry'dir.
Ağdaki trafik şifrelemesindeki artışın görselleştirilmesi
Makroekonomide şifreleme
Şifreli Trafik Analizi (ETA) sistemi, şifreli trafikle şifresini çözmeden çalışmak için tam olarak gereklidir. Saldırganlar akıllıdır ve kriptoya dayanıklı şifreleme algoritmaları kullanır ve bunları kırmak yalnızca bir sorun değil, aynı zamanda kuruluşlar için de son derece pahalıdır.
Sistem şu şekilde çalışmaktadır. Şirkete bir miktar trafik geliyor. TLS'ye (aktarım katmanı güvenliği) girer. Trafiğin şifrelendiğini varsayalım. Nasıl bir bağlantı yapıldığına dair bir takım sorulara cevap vermeye çalışıyoruz.
Şifreli Trafik Analizi (ETA) sistemi nasıl çalışır?
Bu soruları cevaplamak için bu sistemde makine öğrenimini kullanıyoruz. Cisco'dan araştırma alınır ve bu çalışmalara dayanarak kötü niyetli ve "iyi" trafik olmak üzere 2 sonuçtan oluşan bir tablo oluşturulur. Elbette, şu anda sisteme doğrudan ne tür bir trafiğin girdiğini kesin olarak bilmiyoruz, ancak dünya çapındaki verileri kullanarak şirket içindeki ve dışındaki trafiğin geçmişini takip edebiliyoruz. Bu aşamanın sonunda karşımıza büyük bir veri tablosu çıkıyor.
Çalışmanın sonuçlarına göre karakteristik özellikler belirlenir - matematiksel biçimde yazılabilecek belirli kurallar. Bu kurallar farklı kriterlere (aktarılan dosyaların boyutu, bağlantı türü, bu trafiğin geldiği ülke vb.) bağlı olarak büyük ölçüde değişiklik gösterecektir. Çalışmalar sonucunda devasa tablo bir yığın formüle dönüştü. Daha azı var ama bu rahat çalışma için yeterli değil.
Daha sonra, makine öğrenimi teknolojisi uygulanır - formül yakınsaması ve yakınsama sonucuna bağlı olarak bir tetikleyici elde ederiz - bir anahtar, burada veri çıkışı sırasında yükseltilmiş veya alçaltılmış konumda bir anahtar (bayrak) alırız.
Ortaya çıkan aşama, trafiğin %99'unu kapsayan bir dizi tetikleyici elde etmektir.
ETA'da trafik denetimi adımları
Çalışma sonucunda başka bir sorun çözüldü - içeriden bir saldırı. Artık ortadaki insanların trafiği manuel olarak filtrelemesine gerek yok (bu noktada kendimi boğuyorum). Öncelikle yetkin bir sistem yöneticisine artık çok fazla para harcamanıza gerek yok (kendimi boğmaya devam ediyorum). İkincisi, içeriden (en azından kısmen) hacklenme tehlikesi yoktur.
Modası geçmiş Ortadaki Adam Konsepti
Şimdi sistemin neye dayandığını bulalım.
Sistem 4 iletişim protokolü üzerinde çalışır: TCP/IP – İnternet veri aktarım protokolü, DNS – alan adı sunucusu, TLS – aktarım katmanı güvenlik protokolü, SPLT (SpaceWire Physical Layer Tester) – fiziksel iletişim katmanı test cihazı.
ETA ile çalışan protokoller
Karşılaştırma, verilerin karşılaştırılması yoluyla yapılır. TCP/IP protokollerini kullanarak sitelerin itibarı kontrol edilir (ziyaret geçmişi, siteyi oluşturma amacı vb.), DNS protokolü sayesinde “kötü” site adreslerini ortadan kaldırabiliriz. TLS protokolü bir sitenin parmak iziyle çalışır ve siteyi bir bilgisayar acil müdahale ekibine (sertifika) göre doğrular. Bağlantıyı kontrol etmenin son adımı fiziksel düzeyde kontrol etmektir. Bu aşamanın detayları belirtilmemiştir ancak mesele şu: osilografik kurulumlarda veri iletim eğrilerinin sinüs ve kosinüs eğrilerinin kontrol edilmesi, yani. İsteğin fiziksel katmandaki yapısı sayesinde bağlantının amacını belirliyoruz.
Sistemin çalışması sonucunda şifreli trafikten veri elde edebiliyoruz. Paketleri inceleyerek paketin kendisindeki şifrelenmemiş alanlardan mümkün olduğunca fazla bilgi okuyabiliriz. Paketi fiziksel katmanda inceleyerek paketin özelliklerini (kısmen veya tamamen) öğreniriz. Ayrıca sitelerin itibarını da unutmayın. İstek bir .onion kaynağından geldiyse ona güvenmemelisiniz. Bu tür verilerle çalışmayı kolaylaştırmak için bir risk haritası oluşturulmuştur.
ETA'nın çalışmasının sonucu
Ve her şey yolunda görünüyor, ancak ağ dağıtımı hakkında konuşalım.
ETA'nın fiziksel uygulaması
Burada bir takım nüanslar ve incelikler ortaya çıkıyor. Bu tür bir ortam oluştururken öncelikle
Üst düzey yazılımlara sahip ağlarda veri toplanması gerekmektedir. Verileri tamamen manuel olarak toplayın
çılgınca, ancak bir yanıt sisteminin uygulanması zaten daha ilginç. İkinci olarak veriler
çok şey olmalı, bu da kurulu ağ sensörlerinin çalışması gerektiği anlamına gelir
sadece otonom olarak değil, aynı zamanda ince ayarlanmış bir modda da, bu da bir takım zorluklar yaratıyor.
Sensörler ve Stealthwatch sistemi
Bir sensörü kurmak bir şeydir, ancak onu ayarlamak tamamen farklı bir iştir. Sensörleri yapılandırmak için aşağıdaki topolojiye göre çalışan bir kompleks vardır - ISR = Cisco Integrated Services Router; ASR = Cisco Toplama Hizmetleri Yönlendiricisi; CSR = Cisco Bulut Hizmetleri Yönlendiricisi; WLC = Cisco Kablosuz LAN Denetleyicisi; IE = Cisco Endüstriyel Ethernet Anahtarı; ASA = Cisco Uyarlanabilir Güvenlik Cihazı; FTD = Cisco Firepower Tehdit Savunma Çözümü; WSA = Web Güvenliği Aracı; ISE = Kimlik Hizmetleri Motoru
Her türlü telemetrik veriyi dikkate alan kapsamlı izleme
Ağ yöneticileri bir önceki paragrafta geçen “Cisco” kelime sayısından itibaren aritmi yaşamaya başlıyor. Bu mucizenin bedeli az değil ama bugün konuşacağımız konu bu değil...
Bilgisayar korsanının davranışı aşağıdaki gibi modellenecektir. Stealthwatch, ağdaki her cihazın etkinliğini dikkatle izler ve bir normal davranış modeli oluşturabilir. Ayrıca bu çözüm, bilinen uygunsuz davranışlara ilişkin derinlemesine bilgi sağlar. Çözüm, tarama, ana bilgisayar alarm çerçeveleri, kaba kuvvetle oturum açma, şüpheli veri yakalama, şüpheli veri sızıntısı vb. gibi farklı trafik davranışı türlerini ele alan yaklaşık 100 farklı analiz algoritması veya buluşsal yöntem kullanır. Listelenen güvenlik olayları, yüksek seviyeli mantıksal alarmlar kategorisine girer. Bazı güvenlik olayları da kendi başlarına bir alarmı tetikleyebilir. Böylece sistem, birden fazla izole anormal olayı ilişkilendirebilir ve olası saldırı türünü belirlemek için bunları bir araya getirebilir ve ayrıca bunu belirli bir cihaza ve kullanıcıya bağlayabilir (Şekil 2). Gelecekte olay, ilgili telemetri verileri dikkate alınarak zaman içinde incelenebilir. Bu, en iyi haliyle bağlamsal bilgiyi oluşturur. Neyin yanlış olduğunu anlamak için bir hastayı muayene eden doktorlar semptomlara tek başına bakmazlar. Teşhis koymak için büyük resme bakarlar. Benzer şekilde, Stealthwatch ağdaki her anormal etkinliği yakalar ve bağlama duyarlı alarmlar göndermek için bunu bütünsel olarak inceler, böylece güvenlik profesyonellerinin riskleri önceliklendirmesine yardımcı olur.
Davranış modellemeyi kullanarak anormallik tespiti
Ağın fiziksel dağıtımı şuna benzer:
Şube ağı dağıtım seçeneği (basitleştirilmiş)
Şube ağı dağıtım seçeneği
Ağ konuşlandırıldı ancak nöronla ilgili soru hala açık. Bir veri aktarım ağı düzenlediler, eşiklere sensörler yerleştirdiler ve bir bilgi toplama sistemi başlattılar ancak nöron bu konuda yer almadı. Hoşçakal.
Çok katmanlı sinir ağı
Sistem, kötü amaçlı bulaşmaları, komuta ve kontrol sunucularıyla iletişimi, veri sızıntılarını ve kuruluşun altyapısında çalışan potansiyel olarak istenmeyen uygulamaları tespit etmek için kullanıcı ve cihaz davranışını analiz eder. Yapay zeka, makine öğrenimi ve matematiksel istatistik tekniklerinin bir kombinasyonunun, ağın kötü niyetli etkinlikleri tespit edebilmesi için normal etkinliğini kendi kendine öğrenmesine yardımcı olduğu çok sayıda veri işleme katmanı vardır.
Şifrelenmiş trafik de dahil olmak üzere genişletilmiş ağın tüm parçalarından telemetri verilerini toplayan ağ güvenliği analizi hattı, Stealthwatch'ın benzersiz bir özelliğidir. Neyin "anormal" olduğuna dair adım adım bir anlayış oluşturur, ardından "tehdit faaliyetinin" gerçek bireysel unsurlarını kategorilere ayırır ve son olarak cihazın veya kullanıcının güvenliğinin gerçekten ihlal edilip edilmediğine ilişkin nihai bir karara varır. Bir varlığın riske girip girmediğine ilişkin nihai kararı vermek için delil oluşturan küçük parçaları bir araya getirme yeteneği, çok dikkatli bir analiz ve korelasyondan geçer.
Bu yetenek önemlidir, çünkü tipik bir işletme her gün çok sayıda alarm alabilir ve güvenlik profesyonellerinin kaynakları sınırlı olduğundan her birini araştırmak imkansızdır. Makine öğrenimi modülü, kritik olayları yüksek düzeyde güvenle tanımlamak için büyük miktarda bilgiyi neredeyse gerçek zamanlı olarak işler ve aynı zamanda hızlı çözüm için net eylem planları da sağlayabilir.
Stealthwatch tarafından kullanılan çok sayıda makine öğrenimi tekniğine daha yakından bakalım. Bir olay Stealthwatch'ın makine öğrenimi motoruna gönderildiğinde, denetimli ve denetimsiz makine öğrenimi tekniklerinin bir kombinasyonunu kullanan bir güvenlik analizi hunisinden geçer.
Çok düzeyli makine öğrenimi yetenekleri
Seviye 1. Anormallik tespiti ve güven modelleme
Bu seviyede trafiğin %99'u istatistiksel anormallik dedektörleri kullanılarak atılır. Bu sensörler birlikte neyin normal, neyin anormal olduğuna dair karmaşık modeller oluşturur. Ancak anormal olanın mutlaka zararlı olması gerekmez. Ağınızda olup bitenlerin çoğunun tehditle hiçbir ilgisi yok; bu sadece tuhaf. Bu tür süreçlerin tehdit edici davranışlara bakılmaksızın sınıflandırılması önemlidir. Bu nedenle bu tür dedektörlerin sonuçları, açıklanabilen ve güvenilebilen garip davranışları yakalamak amacıyla daha fazla analiz edilir. Sonuçta en önemli akışların ve isteklerin yalnızca küçük bir kısmı 2. ve 3. katmanlara taşınır. Bu tür makine öğrenimi teknikleri kullanılmasaydı, sinyali gürültüden ayırmanın operasyonel maliyetleri çok yüksek olurdu.
Anomali tespiti. Anormallik tespitindeki ilk adım, istatistiksel olarak normal trafiği anormal trafikten ayırmak için istatistiksel makine öğrenimi tekniklerini kullanır. 70'ten fazla ayrı dedektör, Stealthwatch'ın ağınızın çevresinden geçen trafikte topladığı telemetri verilerini işler ve dahili Etki Alanı Adı Sistemi (DNS) trafiğini, varsa proxy sunucu verilerinden ayırır. Her talep 70'ten fazla dedektör tarafından işlenir ve her dedektör, tespit edilen anormalliklerin bir değerlendirmesini oluşturmak için kendi istatistiksel algoritmasını kullanır. Bu puanlar birleştirilir ve her bir sorgu için tek bir puan üretmek amacıyla birden fazla istatistiksel yöntem kullanılır. Bu toplam puan daha sonra normal ve anormal trafiği ayırmak için kullanılır.
Güvenin modellenmesi. Daha sonra benzer talepler gruplandırılır ve bu grupların toplam anormallik puanı, uzun vadeli bir ortalama olarak belirlenir. Zamanla, uzun vadeli ortalamayı belirlemek için daha fazla sorgu analiz edilir, böylece yanlış pozitifler ve yanlış negatifler azalır. Güven modelleme sonuçları, bir sonraki işleme düzeyine geçmek için anormallik puanı dinamik olarak belirlenen bazı eşiği aşan bir trafik alt kümesini seçmek için kullanılır.
Seviye 2. Olay sınıflandırması ve nesne modelleme
Bu seviyede önceki aşamalarda elde edilen sonuçlar sınıflandırılır ve belirli kötü amaçlı olaylara atanır. Olaylar, %90'ın üzerinde tutarlı bir doğruluk oranı sağlamak için makine öğrenimi sınıflandırıcıları tarafından atanan değere göre sınıflandırılır. Aralarında:
- Neyman-Pearson lemmasına dayalı doğrusal modeller (makalenin başındaki grafikten normal dağılım yasası)
- çok değişkenli öğrenmeyi kullanan vektör makinelerini destekleme
- sinir ağları ve rastgele orman algoritması.
Bu yalıtılmış güvenlik olayları daha sonra zaman içinde tek bir uç noktayla ilişkilendirilir. Bu aşamada, ilgili saldırganın belirli sonuçlara nasıl ulaşmayı başardığına dair tam bir resmin oluşturulduğu bir tehdit tanımı oluşturulur.
Olayların sınıflandırılması. Önceki seviyeye ait istatistiksel olarak anormal alt küme, sınıflandırıcılar kullanılarak 100 veya daha fazla kategoriye dağıtılır. Çoğu sınıflandırıcı bireysel davranışa, grup ilişkilerine veya küresel veya yerel ölçekteki davranışlara dayanırken diğerleri oldukça spesifik olabilir. Örneğin sınıflandırıcı, C&C trafiğini, şüpheli bir uzantıyı veya yetkisiz bir yazılım güncellemesini belirtebilir. Bu aşamanın sonuçlarına göre, güvenlik sisteminde belirli kategorilere ayrılmış bir dizi anormal olay oluşturulur.
Nesne modelleme. Belirli bir nesnenin zararlı olduğu hipotezini destekleyen kanıt miktarı önemlilik eşiğini aşarsa tehdit belirlenir. Bir tehdidin tanımını etkileyen ilgili olaylar, bu tür bir tehditle ilişkilendirilir ve nesnenin ayrı, uzun vadeli bir modelinin parçası haline gelir. Kanıtlar zamanla biriktikçe sistem, önemlilik eşiğine ulaşıldığında yeni tehditleri tanımlar. Bu eşik değeri dinamiktir ve tehdit riskinin düzeyine ve diğer faktörlere göre akıllıca ayarlanır. Bundan sonra tehdit web arayüzünün bilgi panelinde belirir ve bir sonraki seviyeye aktarılır.
3. seviye. İlişki Modelleme
İlişki modellemenin amacı, ilgili olayın sadece yerel değil küresel bağlamını da dikkate alarak önceki seviyelerde elde edilen sonuçları küresel bir perspektiften sentezlemektir. Bu aşamada, bu tür bir saldırının özellikle size mi yönelik olduğunu yoksa küresel bir kampanyanın parçası mı olduğunu ve yakalandığınızı anlamak için kaç kuruluşun böyle bir saldırıyla karşılaştığını tespit edebilirsiniz.
Olaylar doğrulanır veya keşfedilir. Doğrulanmış bir olay %99 ila %100 güven anlamına gelir çünkü ilgili teknikler ve araçlar daha önce daha büyük (küresel) bir ölçekte çalışırken gözlemlenmiştir. Tespit edilen olaylar size özeldir ve hedefi yüksek bir kampanyanın parçasını oluşturur. Geçmiş bulgular, bilinen bir eylem planıyla paylaşılarak yanıt olarak zamandan ve kaynaklardan tasarruf etmenizi sağlar. Size kimin saldırdığını ve kampanyanın dijital işletmenizi ne ölçüde hedeflediğini anlamanız için gereken soruşturma araçlarıyla birlikte gelirler. Tahmin edebileceğiniz gibi, doğrulanan olayların sayısı, tespit edilenlerin sayısını çok aşıyor; bunun basit nedeni, doğrulanan olayların saldırganlara çok fazla maliyet getirmemesi, oysa tespit edilen olayların maliyetinin yüksek olmasıdır.
pahalı çünkü yeni ve özelleştirilmiş olmaları gerekiyor. Onaylanmış olayları tespit etme yeteneğinin yaratılmasıyla oyunun ekonomisi sonunda savunmacıların lehine değişti ve onlara belirgin bir avantaj sağladı.
ETA'ya dayalı bir sinir bağlantı sisteminin çok seviyeli eğitimi
Küresel risk haritası
Küresel risk haritası, makine öğrenimi algoritmalarının sektördeki türünün en büyük veri kümelerinden birine uyguladığı analiz yoluyla oluşturuluyor. Bilinmeseler bile internetteki sunuculara ilişkin kapsamlı davranış istatistikleri sağlar. Bu tür sunucular saldırılarla ilişkilidir ve gelecekte bir saldırının parçası olarak kullanılabilir veya kullanılabilir. Bu bir “kara liste” değil, söz konusu sunucunun güvenlik açısından kapsamlı bir resmidir. Bu sunucuların faaliyetlerine ilişkin bu bağlamsal bilgi, Stealthwatch'ın makine öğrenimi algılayıcılarının ve sınıflandırıcılarının, bu tür sunucularla olan iletişimlerle ilişkili risk düzeyini doğru bir şekilde tahmin etmesine olanak tanır.
Mevcut kartları görüntüleyebilirsiniz .
460 milyon IP adresini gösteren dünya haritası
Artık ağ, ağınızı korumak için öğrenir ve ayağa kalkar.
Sonunda her derde deva ilaç bulundu mu?
Ne yazık ki, hayır. Sistemle çalışma deneyimime dayanarak 2 küresel sorun olduğunu söyleyebilirim.
Sorun 1. Fiyat. Ağın tamamı bir Cisco sistemi üzerinde konuşlandırılmıştır. Bu hem iyi hemde kötü. İşin iyi yanı, D-Link, MikroTik vb. gibi bir dizi fişi takmanıza gerek kalmamasıdır. Dezavantajı ise sistemin yüksek maliyetidir. Rus iş dünyasının ekonomik durumu göz önüne alındığında, şu anda yalnızca büyük bir şirketin veya bankanın zengin sahibi bu mucizeyi karşılayabilir.
Sorun 2: Eğitim. Yazıda sinir ağının eğitim süresini yazmadım ama var olmadığı için değil sürekli öğrendiği için ve ne zaman öğreneceğini tahmin edemediğimiz için. Elbette matematiksel istatistik araçları vardır (Pearson yakınsama kriterinin aynı formülasyonunu alın), ancak bunlar yarım ölçümlerdir. Trafiği filtreleme olasılığını elde ediyoruz ve o zaman bile yalnızca saldırının zaten ustalaşmış ve biliniyor olması koşuluyla.
Bu 2 soruna rağmen genel olarak bilgi güvenliğinin ve özel olarak ağ korumasının geliştirilmesinde büyük bir adım attık. Bu gerçek, şu anda çok umut verici bir yön olan ağ teknolojileri ve sinir ağları çalışmaları için motive edici olabilir.
Kaynak: habr.com