ٹریفک کو ڈکرپٹ کیے بغیر تجزیہ کرنے کا نظام۔ اس طریقہ کو محض "مشین لرننگ" کہا جاتا ہے۔ اس سے پتہ چلا کہ اگر مختلف ٹریفک کی ایک بہت بڑی مقدار کو کسی خاص درجہ بندی کے ان پٹ کو فیڈ کیا جاتا ہے، تو سسٹم انکرپٹڈ ٹریفک کے اندر نقصان دہ کوڈ کی کارروائیوں کا بہت زیادہ امکان کے ساتھ پتہ لگا سکتا ہے۔
آن لائن دھمکیاں بدل گئی ہیں اور ہوشیار ہو گئی ہیں۔ حال ہی میں، حملے اور دفاع کا تصور ہی بدل گیا ہے۔ نیٹ ورک پر واقعات کی تعداد میں نمایاں اضافہ ہوا ہے۔ حملے زیادہ نفیس ہو گئے ہیں اور ہیکرز کی رسائی وسیع ہے۔
سسکو کے اعداد و شمار کے مطابق، پچھلے ایک سال کے دوران، حملہ آوروں نے میلویئر کی تعداد میں تین گنا اضافہ کر دیا ہے جو وہ اپنی سرگرمیوں کے لیے استعمال کرتے ہیں، یا ان کو چھپانے کے لیے انکرپشن کا استعمال کرتے ہیں۔ یہ نظریہ سے معلوم ہوتا ہے کہ "صحیح" خفیہ کاری الگورتھم کو توڑا نہیں جا سکتا۔ یہ سمجھنے کے لیے کہ انکرپٹڈ ٹریفک کے اندر کیا چھپا ہوا ہے، ضروری ہے کہ یا تو اسے کلید کو جانتے ہوئے ڈکرپٹ کیا جائے، یا مختلف چالوں، یا براہ راست ہیکنگ، یا کرپٹوگرافک پروٹوکول میں کسی قسم کی کمزوریوں کا استعمال کرتے ہوئے اسے ڈکرپٹ کرنے کی کوشش کی جائے۔
ہمارے وقت کے نیٹ ورک کے خطرات کی ایک تصویر
مشین لرننگ
ذاتی طور پر ٹیکنالوجی جانیں! اس بارے میں بات کرنے سے پہلے کہ مشین لرننگ پر مبنی ڈکرپشن ٹیکنالوجی خود کیسے کام کرتی ہے، یہ سمجھنا ضروری ہے کہ نیورل نیٹ ورک ٹیکنالوجی کیسے کام کرتی ہے۔
مشین لرننگ مصنوعی ذہانت کا ایک وسیع ذیلی حصہ ہے جو الگورتھم بنانے کے طریقوں کا مطالعہ کرتا ہے جو سیکھ سکتے ہیں۔ اس سائنس کا مقصد کمپیوٹر کو "تربیت" دینے کے لیے ریاضیاتی ماڈل بنانا ہے۔ سیکھنے کا مقصد کسی چیز کی پیش گوئی کرنا ہے۔ انسانی فہم میں ہم اس عمل کو لفظ کہتے ہیں۔ "حکمت". حکمت ان لوگوں میں ظاہر ہوتی ہے جو کافی عرصے سے زندہ ہیں (ایک 2 سال کا بچہ عقلمند نہیں ہو سکتا)۔ جب مشورہ کے لیے سینئر کامریڈز سے رجوع کیا جاتا ہے، تو ہم انہیں ایونٹ کے بارے میں کچھ معلومات (ان پٹ ڈیٹا) دیتے ہیں اور ان سے مدد کے لیے کہتے ہیں۔ وہ، بدلے میں، زندگی کے تمام حالات کو یاد رکھتے ہیں جو کسی نہ کسی طرح آپ کے مسئلے (علم کی بنیاد) سے متعلق ہیں اور، اس علم (ڈیٹا) کی بنیاد پر، ہمیں ایک قسم کی پیشن گوئی (مشورہ) دیتے ہیں. اس قسم کے مشورے کو پیشین گوئی کہا جانے لگا کیونکہ مشورہ دینے والا شخص یقینی طور پر نہیں جانتا کہ کیا ہوگا، بلکہ صرف گمان ہوتا ہے۔ زندگی کا تجربہ بتاتا ہے کہ ایک شخص صحیح ہو سکتا ہے، یا وہ غلط ہو سکتا ہے۔
آپ کو عصبی نیٹ ورکس کا برانچنگ الگورتھم (اگر-اور) سے موازنہ نہیں کرنا چاہیے۔ یہ مختلف چیزیں ہیں اور کلیدی اختلافات ہیں۔ برانچنگ الگورتھم میں واضح "فہم" ہے کہ کیا کرنا ہے۔ میں مثالوں سے ظاہر کروں گا۔
کام کار کی بریکنگ کی دوری اس کے بنانے اور تیاری کے سال کی بنیاد پر طے کریں۔
برانچنگ الگورتھم کی ایک مثال۔ اگر کوئی کار برانڈ 1 ہے اور اسے 2012 میں ریلیز کیا گیا تھا، تو اس کا بریک لگانے کا فاصلہ 10 میٹر ہے، بصورت دیگر، اگر کار برانڈ 2 ہے اور اسے 2011 میں ریلیز کیا گیا تھا، وغیرہ۔
نیورل نیٹ ورک کی ایک مثال۔ ہم گزشتہ 20 سالوں میں کار کی بریک لگانے کے فاصلوں پر ڈیٹا اکٹھا کرتے ہیں۔ بنانے اور سال کے لحاظ سے، ہم فارم کی ایک جدول مرتب کرتے ہیں "مینوفیکچرنگ بریکنگ فاصلے کا سال بنائیں"۔ ہم اس ٹیبل کو نیورل نیٹ ورک پر جاری کرتے ہیں اور اسے سکھانا شروع کر دیتے ہیں۔ ٹریننگ اس طرح کی جاتی ہے: ہم ڈیٹا کو نیورل نیٹ ورک میں فیڈ کرتے ہیں، لیکن بریکنگ پاتھ کے بغیر۔ نیوران یہ پیشین گوئی کرنے کی کوشش کرتا ہے کہ اس میں لدی ہوئی میز کی بنیاد پر بریک لگانے کا فاصلہ کیا ہوگا۔ کسی چیز کی پیش گوئی کرتا ہے اور صارف سے پوچھتا ہے "کیا میں صحیح ہوں؟" سوال سے پہلے، وہ ایک چوتھا کالم بناتی ہے، اندازہ لگانے والا کالم۔ اگر وہ صحیح ہے، تو وہ چوتھے کالم میں 1 لکھتی ہے؛ اگر وہ غلط ہے، تو وہ 0 لکھتی ہے۔ نیورل نیٹ ورک اگلے ایونٹ کی طرف بڑھتا ہے (چاہے اس نے غلطی کی ہو)۔ اس طرح نیٹ ورک سیکھتا ہے اور جب ٹریننگ مکمل ہو جاتی ہے (ایک خاص کنورجنسی معیار تک پہنچ چکا ہے)، ہم اس کار کے بارے میں ڈیٹا جمع کراتے ہیں جس میں ہماری دلچسپی ہے اور آخر کار جواب ملتا ہے۔
کنورجنسی کے معیار کے بارے میں سوال کو دور کرنے کے لیے، میں وضاحت کروں گا کہ یہ شماریات کے لیے ریاضیاتی طور پر اخذ کردہ فارمولا ہے۔ دو مختلف کنورجنسی فارمولوں کی ایک شاندار مثال۔ سرخ - بائنری کنورژنس، بلیو - نارمل کنورژنس۔
ثانوی اور عام امکانی تقسیم
اسے واضح کرنے کے لیے، سوال پوچھیں "ڈائیناسور سے ملنے کا امکان کیا ہے؟" یہاں 2 ممکنہ جوابات ہیں۔ آپشن 1 - بہت چھوٹا (نیلا گراف)۔ آپشن 2 - یا تو میٹنگ ہو یا نہ ہو (سرخ گراف)۔
یقینا، کمپیوٹر ایک شخص نہیں ہے اور یہ مختلف طریقے سے سیکھتا ہے۔ لوہے کے گھوڑوں کی تربیت کی 2 قسمیں ہیں: کیس پر مبنی تعلیم и کٹوتی سیکھنے.
نظیر کے ذریعے پڑھانا ریاضی کے قوانین کا استعمال کرتے ہوئے پڑھانے کا ایک طریقہ ہے۔ ریاضی دان اعدادوشمار کی میزیں جمع کرتے ہیں، نتیجہ اخذ کرتے ہیں اور نتیجہ کو اعصابی نیٹ ورک میں لوڈ کرتے ہیں - حساب کا ایک فارمولا۔
کٹوتی سیکھنا - سیکھنا مکمل طور پر نیوران میں ہوتا ہے (ڈیٹا جمع کرنے سے لے کر اس کے تجزیہ تک)۔ یہاں ایک جدول بغیر فارمولے کے بنتا ہے، لیکن اعداد و شمار کے ساتھ۔
ٹکنالوجی کا ایک وسیع جائزہ مزید دو درجن مضامین لے گا۔ فی الحال، ہماری عام فہم کے لیے یہی کافی ہوگا۔
نیوروپلاسٹیٹی
حیاتیات میں اس طرح کا ایک تصور ہے - neuroplasticity. نیوروپلاسٹیٹی نیوران (دماغی خلیات) کی "صورتحال کے مطابق" کام کرنے کی صلاحیت ہے۔ مثال کے طور پر، ایک شخص جو اپنی بینائی کھو چکا ہے وہ آوازوں کو سنتا ہے، سونگھتا ہے اور چیزوں کو بہتر طور پر محسوس کرتا ہے۔ یہ اس حقیقت کی وجہ سے ہوتا ہے کہ دماغ کا وہ حصہ (نیوران کا حصہ) جو بصارت کے لیے ذمہ دار ہے اپنے کام کو دوسری فعالیت میں دوبارہ تقسیم کرتا ہے۔
زندگی میں نیوروپلاسٹیٹی کی ایک شاندار مثال برین پورٹ لالی پاپ ہے۔
2009 میں، میڈیسن کی یونیورسٹی آف وسکونسن نے ایک نئی ڈیوائس کے اجراء کا اعلان کیا جس نے "لینگویج ڈسپلے" کے آئیڈیاز تیار کیے - اسے برین پورٹ کہا گیا۔ برین پورٹ درج ذیل الگورتھم کے مطابق کام کرتا ہے: ویڈیو سگنل کیمرے سے پروسیسر کو بھیجا جاتا ہے، جو زوم، چمک اور تصویر کے دیگر پیرامیٹرز کو کنٹرول کرتا ہے۔ یہ ڈیجیٹل سگنلز کو برقی تحریکوں میں بھی تبدیل کرتا ہے، بنیادی طور پر ریٹنا کے افعال کو سنبھالتا ہے۔
شیشے اور کیمرے کے ساتھ برین پورٹ لالی پاپ
کام پر برین پورٹ
کمپیوٹر کے ساتھ بھی۔ اگر اعصابی نیٹ ورک اس عمل میں تبدیلی محسوس کرتا ہے، تو یہ اس کے مطابق ہو جاتا ہے۔ یہ دوسرے الگورتھم - خود مختاری کے مقابلے میں نیورل نیٹ ورکس کا کلیدی فائدہ ہے۔ ایک قسم کی انسانیت۔
خفیہ کردہ ٹریفک تجزیات
خفیہ کردہ ٹریفک تجزیات اسٹیلتھ واچ سسٹم کا حصہ ہے۔ اسٹیلتھ واچ سیکیورٹی مانیٹرنگ اور اینالیٹکس سلوشنز میں سسکو کا داخلہ ہے جو موجودہ نیٹ ورک انفراسٹرکچر سے انٹرپرائز ٹیلی میٹری ڈیٹا کا فائدہ اٹھاتا ہے۔
اسٹیلتھ واچ انٹرپرائز فلو ریٹ لائسنس، فلو کلیکٹر، مینجمنٹ کنسول اور فلو سینسر ٹولز پر مبنی ہے۔
سسکو سٹیلتھ واچ انٹرفیس
خفیہ کاری کے ساتھ مسئلہ اس حقیقت کی وجہ سے بہت سنگین ہو گیا کہ بہت زیادہ ٹریفک کو خفیہ کرنا شروع ہو گیا۔ پہلے، صرف کوڈ کو انکرپٹ کیا جاتا تھا (زیادہ تر)، لیکن اب تمام ٹریفک کو انکرپٹ کیا گیا ہے اور وائرس سے "صاف" ڈیٹا کو الگ کرنا زیادہ مشکل ہو گیا ہے۔ ایک حیرت انگیز مثال WannaCry ہے، جس نے اپنی آن لائن موجودگی کو چھپانے کے لیے Tor کا استعمال کیا۔
نیٹ ورک پر ٹریفک کی خفیہ کاری میں اضافہ کا تصور
میکرو اکنامکس میں خفیہ کاری
انکرپٹڈ ٹریفک اینالیٹکس (ETA) سسٹم انکرپٹڈ ٹریفک کے ساتھ بغیر ڈکرپٹ کیے کام کرنے کے لیے بالکل ضروری ہے۔ حملہ آور ہوشیار ہیں اور کرپٹو ریزسٹنٹ انکرپشن الگورتھم استعمال کرتے ہیں، اور انہیں توڑنا نہ صرف ایک مسئلہ ہے بلکہ تنظیموں کے لیے انتہائی مہنگا بھی ہے۔
نظام مندرجہ ذیل کام کرتا ہے۔ کچھ ٹریفک کمپنی میں آتی ہے۔ یہ TLS (ٹرانسپورٹ لیئر سیکیورٹی) میں آتا ہے۔ ہم کہتے ہیں کہ ٹریفک کو انکرپٹ کیا گیا ہے۔ ہم کئی سوالوں کے جواب دینے کی کوشش کر رہے ہیں کہ کس قسم کا کنکشن بنایا گیا تھا۔
انکرپٹڈ ٹریفک اینالیٹکس (ETA) سسٹم کیسے کام کرتا ہے۔
ان سوالات کا جواب دینے کے لیے ہم اس سسٹم میں مشین لرننگ کا استعمال کرتے ہیں۔ Cisco سے تحقیق لی جاتی ہے اور ان مطالعات کی بنیاد پر 2 نتائج سے ایک ٹیبل بنایا جاتا ہے - بدنیتی پر مبنی اور "اچھی" ٹریفک۔ بلاشبہ، ہم یقینی طور پر نہیں جانتے کہ موجودہ وقت میں کس قسم کی ٹریفک سسٹم میں براہ راست داخل ہوئی، لیکن ہم عالمی سطح کے ڈیٹا کا استعمال کرتے ہوئے کمپنی کے اندر اور باہر ٹریفک کی تاریخ کا سراغ لگا سکتے ہیں۔ اس مرحلے کے اختتام پر، ہمیں ڈیٹا کے ساتھ ایک بہت بڑا ٹیبل ملتا ہے۔
مطالعہ کے نتائج کی بنیاد پر، خصوصیت کی خصوصیات کی نشاندہی کی جاتی ہے - کچھ اصول جو ریاضی کی شکل میں لکھے جا سکتے ہیں۔ یہ قواعد مختلف معیارات کی بنیاد پر بہت مختلف ہوں گے - منتقل شدہ فائلوں کا سائز، کنکشن کی قسم، وہ ملک جہاں سے یہ ٹریفک آتی ہے، وغیرہ۔ کام کے نتیجے میں، بڑی میز فارمولوں کے ڈھیروں کے سیٹ میں بدل گئی۔ ان میں سے کم ہیں، لیکن یہ آرام دہ اور پرسکون کام کے لئے کافی نہیں ہے.
اس کے بعد، مشین لرننگ ٹیکنالوجی کا اطلاق ہوتا ہے - فارمولہ کنورجنسی اور کنورجنسی کے نتیجے کی بنیاد پر ہمیں ایک ٹرگر ملتا ہے - ایک سوئچ، جہاں ڈیٹا آؤٹ پٹ ہونے پر ہمیں اوپر یا نیچے کی پوزیشن میں ایک سوئچ (جھنڈا) ملتا ہے۔
نتیجہ خیز مرحلہ ٹرگرز کا ایک سیٹ حاصل کر رہا ہے جس نے 99% ٹریفک کو کور کیا ہے۔
ETA میں ٹریفک کے معائنہ کے اقدامات
کام کے نتیجے میں، ایک اور مسئلہ حل ہو جاتا ہے - اندر سے حملہ. اب درمیان میں لوگوں کو ٹریفک کو دستی طور پر فلٹر کرنے کی ضرورت نہیں ہے (میں اس وقت اپنے آپ کو ڈوب رہا ہوں)۔ سب سے پہلے، آپ کو ایک قابل سسٹم ایڈمنسٹریٹر پر زیادہ پیسہ خرچ کرنے کی ضرورت نہیں ہے (میں خود کو ڈوبتا رہتا ہوں)۔ دوسری بات یہ کہ اندر سے ہیکنگ کا کوئی خطرہ نہیں ہے (کم از کم جزوی طور پر)۔
فرسودہ انسان میں درمیانی تصور
اب، آئیے یہ معلوم کریں کہ نظام کس بنیاد پر ہے۔
یہ نظام 4 کمیونیکیشن پروٹوکولز پر کام کرتا ہے: TCP/IP – انٹرنیٹ ڈیٹا ٹرانسفر پروٹوکول، DNS – ڈومین نیم سرور، TLS – ٹرانسپورٹ لیئر سیکیورٹی پروٹوکول، SPLT (SpaceWire Physical Layer Tester) – فزیکل کمیونیکیشن لیئر ٹیسٹر۔
ETA کے ساتھ کام کرنے والے پروٹوکول
موازنہ ڈیٹا کا موازنہ کرکے کیا جاتا ہے۔ TCP/IP پروٹوکول کا استعمال کرتے ہوئے، سائٹس کی ساکھ کی جانچ پڑتال کی جاتی ہے (وزٹ کی سرگزشت، سائٹ بنانے کا مقصد، وغیرہ)، DNS پروٹوکول کی بدولت، ہم "خراب" سائٹ کے پتوں کو رد کر سکتے ہیں۔ TLS پروٹوکول سائٹ کے فنگر پرنٹ کے ساتھ کام کرتا ہے اور کمپیوٹر ایمرجنسی رسپانس ٹیم (سرٹ) کے خلاف سائٹ کی تصدیق کرتا ہے۔ کنکشن کی جانچ کرنے کا آخری مرحلہ جسمانی سطح پر چیک کرنا ہے۔ اس مرحلے کی تفصیلات بیان نہیں کی گئی ہیں، لیکن نکتہ درج ذیل ہے: oscillographic تنصیبات پر ڈیٹا ٹرانسمیشن منحنی خطوط اور cosine curves کی جانچ کرنا، یعنی جسمانی پرت پر درخواست کی ساخت کی بدولت، ہم کنکشن کے مقصد کا تعین کرتے ہیں۔
سسٹم کے آپریشن کے نتیجے میں، ہم خفیہ کردہ ٹریفک سے ڈیٹا حاصل کر سکتے ہیں۔ پیکٹوں کی جانچ کرکے، ہم پیکٹ میں ہی غیر خفیہ کردہ فیلڈز سے زیادہ سے زیادہ معلومات پڑھ سکتے ہیں۔ جسمانی تہہ پر پیکٹ کا معائنہ کرنے سے، ہم پیکٹ کی خصوصیات (جزوی یا مکمل طور پر) کا پتہ لگاتے ہیں۔ اس کے علاوہ، سائٹس کی ساکھ کے بارے میں مت بھولنا. اگر درخواست پیاز کے کسی ذریعہ سے آئی ہے، تو آپ کو اس پر بھروسہ نہیں کرنا چاہیے۔ اس قسم کے ڈیٹا کے ساتھ کام کرنا آسان بنانے کے لیے ایک رسک میپ بنایا گیا ہے۔
ETA کے کام کا نتیجہ
اور لگتا ہے کہ سب کچھ ٹھیک ہے، لیکن آئیے نیٹ ورک کی تعیناتی کے بارے میں بات کرتے ہیں۔
ETA کا جسمانی نفاذ
یہاں کئی باریکیاں اور باریکیاں پیدا ہوتی ہیں۔ سب سے پہلے، اس قسم کی تخلیق کرتے وقت
اعلی سطحی سافٹ ویئر کے ساتھ نیٹ ورک، ڈیٹا اکٹھا کرنے کی ضرورت ہے۔ مکمل طور پر دستی طور پر ڈیٹا اکٹھا کریں۔
جنگلی، لیکن جوابی نظام کو نافذ کرنا پہلے سے زیادہ دلچسپ ہے۔ دوم، ڈیٹا
وہاں بہت کچھ ہونا چاہئے، جس کا مطلب ہے کہ نصب شدہ نیٹ ورک سینسر کو کام کرنا چاہئے
نہ صرف خود مختاری سے بلکہ باریک ٹیونڈ موڈ میں بھی، جس سے کئی مشکلات پیدا ہوتی ہیں۔
سینسر اور اسٹیلتھ واچ سسٹم
سینسر لگانا ایک چیز ہے، لیکن اسے ترتیب دینا بالکل مختلف کام ہے۔ سینسرز کو ترتیب دینے کے لیے، ایک کمپلیکس ہے جو درج ذیل ٹوپولوجی کے مطابق کام کرتا ہے - ISR = Cisco Integrated Services Router؛ ASR = Cisco Aggregation Services Router; CSR = سسکو کلاؤڈ سروسز راؤٹر؛ WLC = سسکو وائرلیس LAN کنٹرولر؛ IE = سسکو انڈسٹریل ایتھرنیٹ سوئچ؛ ASA = Cisco Adaptive Security Appliance؛ FTD = سسکو فائر پاور تھریٹ ڈیفنس سلوشن؛ WSA = ویب سیکورٹی آلات؛ ISE = شناختی خدمات کا انجن
کسی بھی ٹیلی میٹرک ڈیٹا کو مدنظر رکھتے ہوئے جامع نگرانی
نیٹ ورک کے منتظمین پچھلے پیراگراف میں لفظ "سسکو" کی تعداد سے arrhythmia کا تجربہ کرنا شروع کرتے ہیں۔ اس معجزے کی قیمت کم نہیں ہے، لیکن یہ وہ نہیں ہے جس کے بارے میں ہم آج بات کر رہے ہیں...
ہیکر کے رویے کو مندرجہ ذیل ماڈل بنایا جائے گا۔ سٹیلتھ واچ نیٹ ورک پر موجود ہر ڈیوائس کی سرگرمی کو احتیاط سے مانیٹر کرتی ہے اور عام رویے کا نمونہ بنانے کے قابل ہے۔ مزید برآں، یہ حل معروف نامناسب رویے میں گہری بصیرت فراہم کرتا ہے۔ اس حل میں تقریباً 100 مختلف تجزیہ الگورتھم یا ہیورسٹکس کا استعمال کیا گیا ہے جو ٹریفک کے مختلف رویے جیسے کہ سکیننگ، ہوسٹ الارم فریم، بروٹ فورس لاگ ان، مشتبہ ڈیٹا کیپچر، مشتبہ ڈیٹا لیکیج وغیرہ کو حل کرتے ہیں۔ درج کردہ حفاظتی واقعات اعلیٰ سطحی منطقی الارم کے زمرے میں آتے ہیں۔ کچھ حفاظتی واقعات خود بھی خطرے کی گھنٹی بجا سکتے ہیں۔ اس طرح، یہ نظام متعدد الگ تھلگ غیر معمولی واقعات کو آپس میں جوڑنے اور ممکنہ قسم کے حملے کا تعین کرنے کے ساتھ ساتھ اسے ایک مخصوص ڈیوائس اور صارف (شکل 2) سے جوڑنے کے لیے ایک ساتھ جوڑنے کے قابل ہے۔ مستقبل میں، واقعے کا وقت کے ساتھ مطالعہ کیا جا سکتا ہے اور متعلقہ ٹیلی میٹری ڈیٹا کو مدنظر رکھا جا سکتا ہے۔ یہ سیاق و سباق کی معلومات کو بہترین طور پر تشکیل دیتا ہے۔ کیا غلط ہے یہ سمجھنے کے لیے مریض کا معائنہ کرنے والے ڈاکٹر تنہائی میں علامات کو نہیں دیکھتے۔ وہ تشخیص کرنے کے لیے بڑی تصویر کو دیکھتے ہیں۔ اسی طرح، اسٹیلتھ واچ نیٹ ورک پر موجود ہر غیر معمولی سرگرمی کو پکڑتی ہے اور سیاق و سباق سے آگاہ الارم بھیجنے کے لیے اس کا مکمل جائزہ لیتی ہے، اس طرح سیکیورٹی پیشہ ور افراد کو خطرات کو ترجیح دینے میں مدد ملتی ہے۔
رویے کی ماڈلنگ کا استعمال کرتے ہوئے بے ضابطگی کا پتہ لگانا
نیٹ ورک کی جسمانی تعیناتی اس طرح نظر آتی ہے:
برانچ نیٹ ورک کی تعیناتی کا اختیار (آسان)
برانچ نیٹ ورک کی تعیناتی کا اختیار
نیٹ ورک کو تعینات کیا گیا ہے، لیکن نیوران کے بارے میں سوال کھلا رہتا ہے. انہوں نے ڈیٹا ٹرانسمیشن نیٹ ورک کو منظم کیا، دہلیز پر سینسر لگائے اور معلومات جمع کرنے کا نظام شروع کیا، لیکن نیوران نے اس معاملے میں حصہ نہیں لیا۔ الوداع
ملٹی لیئر نیورل نیٹ ورک
سسٹم صارف اور ڈیوائس کے رویے کا تجزیہ کرتا ہے تاکہ نقصان دہ انفیکشن، کمانڈ اینڈ کنٹرول سرورز کے ساتھ مواصلات، ڈیٹا لیک، اور تنظیم کے بنیادی ڈھانچے میں چلنے والی ممکنہ طور پر ناپسندیدہ ایپلی کیشنز کا پتہ لگایا جا سکے۔ ڈیٹا پروسیسنگ کی متعدد پرتیں ہیں جہاں مصنوعی ذہانت، مشین لرننگ، اور ریاضیاتی اعدادوشمار کی تکنیکوں کا مجموعہ نیٹ ورک کو اپنی معمول کی سرگرمی کو خود سیکھنے میں مدد کرتا ہے تاکہ وہ بدنیتی پر مبنی سرگرمی کا پتہ لگا سکے۔
نیٹ ورک سیکیورٹی تجزیہ پائپ لائن، جو توسیعی نیٹ ورک کے تمام حصوں سے ٹیلی میٹری ڈیٹا اکٹھا کرتی ہے، بشمول خفیہ کردہ ٹریفک، اسٹیلتھ واچ کی ایک منفرد خصوصیت ہے۔ یہ بتدریج اس بات کی تفہیم تیار کرتا ہے کہ "غیر معمولی" کیا ہے، پھر "خطرے کی سرگرمی" کے اصل انفرادی عناصر کی درجہ بندی کرتا ہے اور آخر میں حتمی فیصلہ کرتا ہے کہ آیا آلہ یا صارف کے ساتھ حقیقت میں سمجھوتہ کیا گیا ہے۔ چھوٹے چھوٹے ٹکڑوں کو اکٹھا کرنے کی صلاحیت جو ایک ساتھ مل کر اس بات کا حتمی فیصلہ کرنے کے لیے ثبوت بناتے ہیں کہ آیا کسی اثاثے سے سمجھوتہ کیا گیا ہے بہت محتاط تجزیہ اور ارتباط کے ذریعے آتا ہے۔
یہ قابلیت اہم ہے کیونکہ ایک عام کاروبار کو ہر روز بڑی تعداد میں الارم موصول ہو سکتے ہیں، اور ہر ایک کی چھان بین کرنا ناممکن ہے کیونکہ سیکورٹی پیشہ ور افراد کے پاس وسائل محدود ہیں۔ مشین لرننگ ماڈیول انتہائی اعتماد کے ساتھ اہم واقعات کی نشاندہی کرنے کے لیے قریب قریب حقیقی وقت میں بہت زیادہ معلومات پر کارروائی کرتا ہے، اور تیز رفتار حل کے لیے واضح طریقہ کار فراہم کرنے کے قابل بھی ہے۔
آئیے اسٹیلتھ واچ کے ذریعہ استعمال کی جانے والی متعدد مشین لرننگ تکنیکوں پر گہری نظر ڈالیں۔ جب کوئی واقعہ اسٹیلتھ واچ کے مشین لرننگ انجن میں جمع کیا جاتا ہے، تو یہ ایک حفاظتی تجزیہ فنل سے گزرتا ہے جو زیر نگرانی اور غیر زیر نگرانی مشین لرننگ تکنیکوں کے امتزاج کا استعمال کرتا ہے۔
ملٹی لیول مشین لرننگ کی صلاحیتیں۔
سطح 1. بے ضابطگی کا پتہ لگانے اور اعتماد کی ماڈلنگ
اس سطح پر، شماریاتی بے ضابطگی کا پتہ لگانے والوں کا استعمال کرتے ہوئے 99% ٹریفک کو ضائع کر دیا جاتا ہے۔ یہ سینسر مل کر پیچیدہ ماڈل بناتے ہیں کہ کیا نارمل ہے اور کیا، اس کے برعکس، کیا غیر معمولی ہے۔ تاہم، غیر معمولی ضروری طور پر نقصان دہ نہیں ہے. آپ کے نیٹ ورک پر جو کچھ ہو رہا ہے اس کا خطرہ سے کوئی لینا دینا نہیں ہے — یہ صرف عجیب ہے۔ دھمکی آمیز رویے کی پرواہ کیے بغیر اس طرح کے عمل کی درجہ بندی کرنا ضروری ہے۔ اس وجہ سے، اس طرح کے پتہ لگانے والوں کے نتائج کا مزید تجزیہ کیا جاتا ہے تاکہ عجیب و غریب طرز عمل کو پکڑا جا سکے جس کی وضاحت اور بھروسہ کیا جا سکے۔ بالآخر، انتہائی اہم دھاگوں اور درخواستوں کا صرف ایک چھوٹا سا حصہ اسے تہوں 2 اور 3 تک پہنچاتا ہے۔ اس طرح کی مشین لرننگ تکنیک کے استعمال کے بغیر، سگنل کو شور سے الگ کرنے کے آپریشنل اخراجات بہت زیادہ ہوں گے۔
بے ضابطگی کا پتہ لگانا۔ بے ضابطگی کا پتہ لگانے کا پہلا مرحلہ شماریاتی مشین سیکھنے کی تکنیکوں کا استعمال کرتا ہے تاکہ اعدادوشمار کے لحاظ سے عام ٹریفک کو غیر معمولی ٹریفک سے الگ کیا جا سکے۔ 70 سے زیادہ انفرادی ڈٹیکٹر ٹیلی میٹری ڈیٹا پر کارروائی کرتے ہیں جو اسٹیلتھ واچ ٹریفک پر جمع کرتا ہے جو آپ کے نیٹ ورک کے دائرے سے گزرتا ہے، داخلی ڈومین نیم سسٹم (DNS) ٹریفک کو پراکسی سرور ڈیٹا سے الگ کرتا ہے، اگر کوئی ہے۔ ہر درخواست پر 70 سے زیادہ ڈٹیکٹرز کے ذریعے کارروائی کی جاتی ہے، ہر ڈٹیکٹر اپنے شماریاتی الگورتھم کا استعمال کرتے ہوئے پتہ چلنے والی بے ضابطگیوں کا اندازہ لگاتا ہے۔ ان اسکورز کو یکجا کیا جاتا ہے اور ہر فرد کے استفسار کے لیے ایک ہی اسکور بنانے کے لیے متعدد شماریاتی طریقے استعمال کیے جاتے ہیں۔ اس مجموعی اسکور کو پھر عام اور غیر معمولی ٹریفک کو الگ کرنے کے لیے استعمال کیا جاتا ہے۔
ماڈلنگ کا اعتماد۔ اس کے بعد، اسی طرح کی درخواستوں کو گروپ کیا جاتا ہے، اور اس طرح کے گروپوں کے لیے مجموعی بے ضابطگی اسکور کا تعین طویل مدتی اوسط کے طور پر کیا جاتا ہے۔ وقت گزرنے کے ساتھ، طویل مدتی اوسط کا تعین کرنے کے لیے مزید سوالات کا تجزیہ کیا جاتا ہے، اس طرح غلط مثبت اور غلط منفی کو کم کیا جاتا ہے۔ ٹرسٹ ماڈلنگ کے نتائج ٹریفک کے ایک ذیلی سیٹ کو منتخب کرنے کے لیے استعمال کیے جاتے ہیں جس کا بے ضابطگی اسکور اگلی پروسیسنگ لیول پر جانے کے لیے کچھ متحرک طور پر طے شدہ حد سے زیادہ ہے۔
لیول 2۔ ایونٹ کی درجہ بندی اور آبجیکٹ ماڈلنگ
اس سطح پر، پچھلے مراحل پر حاصل کردہ نتائج کی درجہ بندی کی جاتی ہے اور مخصوص بدنیتی پر مبنی واقعات کو تفویض کیا جاتا ہے۔ ایونٹس کی درجہ بندی مشین لرننگ کلاسیفائرز کے ذریعے تفویض کردہ قدر کی بنیاد پر کی جاتی ہے تاکہ 90% سے زیادہ درستگی کی شرح کو یقینی بنایا جا سکے۔ ان کے درمیان:
- Neyman-Pearson lemma پر مبنی لکیری ماڈل (مضمون کے آغاز میں گراف سے عام تقسیم کا قانون)
- ملٹی ویریٹ لرننگ کا استعمال کرتے ہوئے ویکٹر مشینوں کو سپورٹ کریں۔
- نیورل نیٹ ورکس اور بے ترتیب جنگل الگورتھم۔
یہ الگ تھلگ حفاظتی واقعات پھر وقت کے ساتھ ایک ہی اختتامی نقطہ سے منسلک ہوتے ہیں۔ یہ اس مرحلے پر ہے کہ ایک خطرے کی تفصیل بنتی ہے، جس کی بنیاد پر ایک مکمل تصویر بنائی جاتی ہے کہ متعلقہ حملہ آور کس طرح کچھ نتائج حاصل کرنے میں کامیاب رہا۔
واقعات کی درجہ بندی۔ پچھلی سطح سے اعداد و شمار کے لحاظ سے غیر معمولی ذیلی سیٹ کو درجہ بندی کا استعمال کرتے ہوئے 100 یا اس سے زیادہ زمروں میں تقسیم کیا جاتا ہے۔ زیادہ تر درجہ بندی انفرادی رویے، گروہی تعلقات، یا عالمی یا مقامی پیمانے پر رویے پر مبنی ہوتی ہے، جب کہ دیگر کافی مخصوص ہو سکتے ہیں۔ مثال کے طور پر، درجہ بندی کرنے والا C&C ٹریفک، ایک مشتبہ توسیع، یا غیر مجاز سافٹ ویئر اپ ڈیٹ کی نشاندہی کر سکتا ہے۔ اس مرحلے کے نتائج کی بنیاد پر، حفاظتی نظام میں غیر معمولی واقعات کا ایک مجموعہ، مخصوص زمروں میں درجہ بندی کیا جاتا ہے۔
آبجیکٹ ماڈلنگ۔ اگر اس مفروضے کی حمایت کرنے والے شواہد کی مقدار کہ ایک خاص چیز نقصان دہ ہے مادیت کی حد سے زیادہ ہے، ایک خطرہ طے کیا جاتا ہے۔ متعلقہ واقعات جنہوں نے خطرے کی تعریف کو متاثر کیا وہ اس طرح کے خطرے سے منسلک ہوتے ہیں اور اعتراض کے طویل مدتی ماڈل کا حصہ بن جاتے ہیں۔ جیسا کہ ثبوت وقت کے ساتھ جمع ہوتے جاتے ہیں، نظام جب مادیت کی حد تک پہنچ جاتا ہے تو نئے خطرات کی نشاندہی کرتا ہے۔ یہ حد کی قدر متحرک ہے اور خطرے کے خطرے کی سطح اور دیگر عوامل کی بنیاد پر ذہانت سے ایڈجسٹ کی جاتی ہے۔ اس کے بعد یہ خطرہ ویب انٹرفیس کے انفارمیشن پینل پر ظاہر ہوتا ہے اور اسے اگلے درجے پر منتقل کر دیا جاتا ہے۔
سطح 3۔ رشتہ ماڈلنگ
ریلیشن شپ ماڈلنگ کا مقصد گزشتہ سطحوں پر حاصل کردہ نتائج کو عالمی تناظر سے ترکیب کرنا ہے، نہ صرف متعلقہ واقعے کے مقامی بلکہ عالمی تناظر کو بھی مدنظر رکھتے ہوئے۔ اس مرحلے پر آپ اس بات کا تعین کر سکتے ہیں کہ کتنی تنظیموں نے اس طرح کے حملے کا سامنا کیا ہے تاکہ یہ سمجھ سکیں کہ آیا اس کا مقصد خاص طور پر آپ پر تھا یا یہ کسی عالمی مہم کا حصہ ہے، اور آپ ابھی پکڑے گئے ہیں۔
واقعات کی تصدیق یا دریافت کیا جاتا ہے۔ ایک تصدیق شدہ واقعہ کا مطلب 99 سے 100% اعتماد ہوتا ہے کیونکہ اس سے وابستہ تکنیک اور اوزار پہلے بڑے (عالمی) پیمانے پر عمل میں دیکھے جا چکے ہیں۔ پائے جانے والے واقعات آپ کے لیے منفرد ہوتے ہیں اور ایک انتہائی ٹارگٹڈ مہم کا حصہ بنتے ہیں۔ ماضی کے نتائج ایک معروف طریقہ کار کے ساتھ شیئر کیے جاتے ہیں، جس سے جواب میں آپ کا وقت اور وسائل کی بچت ہوتی ہے۔ وہ تفتیشی ٹولز کے ساتھ آتے ہیں جن کی آپ کو یہ سمجھنے کی ضرورت ہوتی ہے کہ آپ پر کس نے حملہ کیا اور مہم آپ کے ڈیجیٹل کاروبار کو کس حد تک نشانہ بنا رہی تھی۔ جیسا کہ آپ تصور کر سکتے ہیں، تصدیق شدہ واقعات کی تعداد پتہ چلنے والوں کی تعداد سے کہیں زیادہ ہے اس سادہ وجہ سے کہ تصدیق شدہ واقعات میں حملہ آوروں کو زیادہ لاگت نہیں آتی، جب کہ پتہ چلا واقعات ہوتے ہیں۔
مہنگا کیونکہ وہ نئے اور اپنی مرضی کے مطابق ہونا ضروری ہے. تصدیق شدہ واقعات کی نشاندہی کرنے کی صلاحیت پیدا کرکے، گیم کی معاشیات بالآخر محافظوں کے حق میں بدل گئی ہے، جس سے انہیں ایک الگ فائدہ ملا ہے۔
ETA پر مبنی نیورل کنکشن سسٹم کی ملٹی لیول ٹریننگ
عالمی خطرے کا نقشہ
عالمی خطرے کا نقشہ صنعت میں اپنی نوعیت کے سب سے بڑے ڈیٹا سیٹس میں سے ایک پر مشین لرننگ الگورتھم کے ذریعے لاگو تجزیہ کے ذریعے بنایا گیا ہے۔ یہ انٹرنیٹ پر سرورز کے حوالے سے رویے کے وسیع اعدادوشمار فراہم کرتا ہے، چاہے وہ نامعلوم ہی کیوں نہ ہوں۔ ایسے سرورز حملوں سے وابستہ ہوتے ہیں اور مستقبل میں کسی حملے کے حصے کے طور پر ملوث یا استعمال ہو سکتے ہیں۔ یہ "بلیک لسٹ" نہیں ہے، بلکہ سیکورٹی کے نقطہ نظر سے زیر غور سرور کی ایک جامع تصویر ہے۔ ان سرورز کی سرگرمی کے بارے میں یہ سیاق و سباق کی معلومات اسٹیلتھ واچ کے مشین لرننگ ڈیٹیکٹرز اور درجہ بندی کرنے والوں کو ایسے سرورز کے ساتھ مواصلات سے وابستہ خطرے کی سطح کا درست اندازہ لگانے کی اجازت دیتی ہے۔
آپ دستیاب کارڈز دیکھ سکتے ہیں۔ .
دنیا کا نقشہ 460 ملین IP پتے دکھا رہا ہے۔
اب نیٹ ورک سیکھتا ہے اور آپ کے نیٹ ورک کی حفاظت کے لیے کھڑا ہوتا ہے۔
آخر کار کوئی علاج مل گیا؟
بدقسمتی سے нет. سسٹم کے ساتھ کام کرنے کے تجربے سے، میں کہہ سکتا ہوں کہ 2 عالمی مسائل ہیں۔
مسئلہ 1. قیمت۔ پورا نیٹ ورک سسکو سسٹم پر تعینات ہے۔ یہ اچھا بھی ہے اور برا بھی۔ اچھا پہلو یہ ہے کہ آپ کو D-Link، MikroTik، وغیرہ جیسے پلگوں کا ایک گروپ پریشان اور انسٹال کرنے کی ضرورت نہیں ہے۔ منفی پہلو نظام کی بھاری قیمت ہے۔ روسی کاروبار کی اقتصادی حالت پر غور کرتے ہوئے، موجودہ وقت میں صرف ایک بڑی کمپنی یا بینک کے امیر مالک ہی اس معجزے کا متحمل ہوسکتے ہیں۔
مسئلہ 2: تربیت۔ میں نے مضمون میں نیورل نیٹ ورک کے لیے تربیت کا دورانیہ نہیں لکھا، لیکن اس لیے نہیں لکھا کہ یہ موجود نہیں ہے، بلکہ اس لیے کہ یہ ہر وقت سیکھتا رہتا ہے اور ہم یہ اندازہ نہیں لگا سکتے کہ یہ کب سیکھے گا۔ بلاشبہ، ریاضی کے اعداد و شمار کے اوزار موجود ہیں (پیئرسن کنورجنسی کے معیار کی ایک ہی تشکیل کو لیں)، لیکن یہ آدھے اقدامات ہیں۔ ہمیں ٹریفک کو فلٹر کرنے کا امکان ملتا ہے، اور پھر بھی صرف اس شرط کے تحت کہ حملے میں مہارت حاصل کی گئی ہو اور معلوم ہو چکا ہو۔
ان 2 مسائل کے باوجود، ہم نے عمومی طور پر معلومات کی حفاظت اور خاص طور پر نیٹ ورک کے تحفظ کی ترقی میں ایک بڑی چھلانگ لگائی ہے۔ یہ حقیقت نیٹ ورک ٹیکنالوجیز اور نیورل نیٹ ورکس کے مطالعہ کے لیے حوصلہ افزا ہو سکتی ہے، جو اب ایک بہت امید افزا سمت ہیں۔
ماخذ: www.habr.com