Trafikni parolini ochmasdan tahlil qilish tizimi. Ushbu usul oddiygina "mashinani o'rganish" deb ataladi. Ma'lum bo'lishicha, agar maxsus klassifikatorning kirishiga turli xil trafikning juda katta hajmi berilsa, tizim shifrlangan trafik ichidagi zararli kod harakatlarini juda yuqori ehtimollik bilan aniqlay oladi.
Onlayn tahdidlar o'zgardi va aqlliroq bo'ldi. So'nggi paytlarda hujum va mudofaa tushunchasi o'zgardi. Tarmoqdagi voqealar soni sezilarli darajada oshdi. Hujumlar yanada murakkablashdi va xakerlar yanada kengroq qamrovga ega bo'ldi.
Cisco statistik ma'lumotlariga ko'ra, so'nggi bir yil ichida tajovuzkorlar o'z faoliyati uchun foydalanadigan zararli dasturlar, aniqrog'i, ularni yashirish uchun shifrlash sonini uch barobarga oshirgan. Nazariyadan ma'lumki, "to'g'ri" shifrlash algoritmini buzish mumkin emas. Shifrlangan trafik ichida nima yashiringanligini tushunish uchun kalitni bilgan holda uni shifrini ochish yoki turli xil nayranglar yordamida yoki to'g'ridan-to'g'ri xakerlik qilish yoki kriptografik protokollardagi zaifliklardan foydalanish orqali uni ochishga harakat qilish kerak.
Zamonamizdagi tarmoq tahdidlarining surati
Mashinani o'rganish
Texnologiyani shaxsan biling! Mashinani o'rganishga asoslangan shifrni ochish texnologiyasining o'zi qanday ishlashi haqida gapirishdan oldin, neyron tarmoq texnologiyasi qanday ishlashini tushunish kerak.
Mashinani o'rganish - bu o'rganish mumkin bo'lgan algoritmlarni yaratish usullarini o'rganadigan sun'iy intellektning keng bo'limi. Ushbu fan kompyuterni "o'qitish" uchun matematik modellarni yaratishga qaratilgan. O'rganishdan maqsad biror narsani bashorat qilishdir. Inson tushunchasida biz bu jarayonni so'z deb ataymiz "donolik". Donolik uzoq vaqt yashagan odamlarda namoyon bo'ladi (2 yoshli bola dono bo'lolmaydi). Maslahat uchun katta o'rtoqlarga murojaat qilganda, biz ularga voqea haqida ma'lumot beramiz (kirish ma'lumotlari) va ulardan yordam so'raymiz. Ular, o'z navbatida, hayotdan qandaydir tarzda sizning muammoingiz bilan bog'liq bo'lgan barcha vaziyatlarni eslab qolishadi (bilimlar bazasi) va ushbu bilim (ma'lumotlar) asosida bizga qandaydir bashorat (maslahat) beradi. Maslahatning bu turi bashorat deb atala boshlandi, chunki maslahat bergan odam nima bo'lishini aniq bilmaydi, faqat taxmin qiladi. Hayotiy tajriba shuni ko'rsatadiki, inson to'g'ri yoki noto'g'ri bo'lishi mumkin.
Neyron tarmoqlarni tarmoqlanish algoritmi bilan solishtirmaslik kerak (if-else). Bu turli xil narsalar va asosiy farqlar mavjud. Tarmoqli algoritm nima qilish kerakligini aniq "tushunish" ga ega. Men misollar bilan ko'rsataman.
Vazifa. Avtomobilning tormoz masofasini uning ishlab chiqarilgan yiliga qarab aniqlang.
Tarmoqlanish algoritmiga misol. Agar avtomobil 1-markali bo'lsa va 2012 yilda chiqarilgan bo'lsa, uning tormozlash masofasi 10 metrni tashkil qiladi, aks holda, agar avtomobil 2 markali bo'lsa va 2011 yilda chiqarilgan bo'lsa va hokazo.
Neyron tarmog'iga misol. Biz so'nggi 20 yil ichida avtomobil tormozlash masofalari haqida ma'lumot to'playmiz. Ishlab chiqarilgan yili va yili bo'yicha biz "ishlab chiqarilgan yil - tormoz masofasi" shaklidagi jadvalni tuzamiz. Biz ushbu jadvalni neyron tarmoqqa beramiz va uni o'rgatishni boshlaymiz. Trening quyidagicha amalga oshiriladi: biz neyron tarmoqqa ma'lumotlarni uzatamiz, ammo tormoz yo'lisiz. Neyron unga yuklangan jadval asosida tormozlash masofasi qanday bo'lishini taxmin qilishga harakat qiladi. Biror narsani bashorat qiladi va foydalanuvchidan "Men haqmi?" Savoldan oldin u to'rtinchi ustunni, taxmin ustunini yaratadi. Agar u to'g'ri bo'lsa, u to'rtinchi ustunga 1 yozadi, noto'g'ri bo'lsa, u 0 yozadi. Neyron tarmoq keyingi hodisaga o'tadi (hatto xato qilgan bo'lsa ham). Tarmoq shunday o'rganadi va trening tugagach (ma'lum bir konvergentsiya mezoniga erishildi), biz o'zimizni qiziqtirgan mashina haqidagi ma'lumotlarni taqdim etamiz va nihoyat javob olamiz.
Konvergentsiya mezoni haqidagi savolni olib tashlash uchun men bu statistika uchun matematik tarzda olingan formula ekanligini tushuntiraman. Ikki xil konvergentsiya formulalarining yorqin misoli. Qizil - binar konvergentsiya, ko'k - normal konvergentsiya.
Binom va normal ehtimollik taqsimotlari
Buni aniqroq qilish uchun "Dinozavr bilan uchrashish ehtimoli qanday?" Degan savolni bering. Bu yerda 2 ta javob mumkin. Variant 1 - juda kichik (ko'k grafik). Variant 2 - uchrashuv yoki yo'q (qizil grafik).
Albatta, kompyuter inson emas va u boshqacha o'rganadi. Temir ot tayyorlashning 2 turi mavjud: vaziyatga asoslangan ta'lim и deduktiv ta'lim.
Pretsedent bo'yicha o'qitish - bu matematik qonunlardan foydalangan holda o'qitish usuli. Matematiklar statistik jadvallarni to'playdi, xulosalar chiqaradi va natijani neyron tarmoqqa yuklaydi - hisoblash uchun formula.
Deduktiv ta'lim - o'rganish to'liq neyronda sodir bo'ladi (ma'lumotlarni to'plashdan uni tahlil qilishgacha). Bu erda jadval formulasiz, ammo statistika bilan tuzilgan.
Texnologiyani keng ko'rib chiqish uchun yana bir necha o'nlab maqolalar kerak bo'ladi. Hozircha bu bizning umumiy tushunchamiz uchun etarli bo'ladi.
Neyroplastiklik
Biologiyada bunday tushuncha mavjud - neyroplastiklik. Neyroplastiklik - neyronlarning (miya hujayralari) "vaziyatga ko'ra" harakat qilish qobiliyati. Masalan, ko'rish qobiliyatini yo'qotgan odam tovushlarni yaxshi eshitadi, hidlaydi va narsalarni sezadi. Bu miyaning ko'rish uchun mas'ul bo'lgan qismi (neyronlarning bir qismi) o'z ishini boshqa funktsiyalarga qayta taqsimlashi tufayli yuzaga keladi.
Hayotdagi neyroplastiklikning yorqin misoli BrainPort lolipopidir.
2009 yilda Madisondagi Viskonsin universiteti "til displey" g'oyalarini ishlab chiqqan yangi qurilma chiqarilishini e'lon qildi - u BrainPort deb nomlangan. BrainPort quyidagi algoritmga muvofiq ishlaydi: video signal kameradan masshtab, yorqinlik va boshqa rasm parametrlarini boshqaruvchi protsessorga yuboriladi. Shuningdek, u raqamli signallarni elektr impulslariga aylantiradi, asosan retinaning funktsiyalarini oladi.
BrainPort lolipopi ko'zoynak va kamera bilan
BrainPort ish joyida
Kompyuter bilan bir xil. Agar neyron tarmoq jarayondagi o'zgarishlarni sezsa, unga moslashadi. Bu boshqa algoritmlarga nisbatan neyron tarmoqlarning asosiy afzalligi - avtonomiya. Bir turdagi insoniylik.
Shifrlangan trafik tahlili
Shifrlangan trafik tahlili Stealthwatch tizimining bir qismidir. Stealthwatch - bu Cisco kompaniyasining mavjud tarmoq infratuzilmasidan korporativ telemetriya ma'lumotlaridan foydalanadigan xavfsizlik monitoringi va tahliliy yechimlariga kirishi.
Stealthwatch Enterprise oqim tezligi litsenziyasi, oqim kollektori, boshqaruv konsoli va oqim sensori vositalariga asoslangan.
Cisco Stealthwatch interfeysi
Ko'proq trafik shifrlana boshlaganligi sababli shifrlash muammosi juda keskinlashdi. Ilgari faqat kod shifrlangan (asosan), ammo endi barcha trafik shifrlangan va "toza" ma'lumotlarni viruslardan ajratish ancha qiyinlashdi. Buning yorqin misoli WannaCry bo'lib, u Tor yordamida o'zining onlayn mavjudligini yashirgan.
Tarmoqdagi trafikni shifrlashning o'sishini vizualizatsiya qilish
Makroiqtisodiyotda shifrlash
Encrypted Traffic Analytics (ETA) tizimi shifrlangan trafik bilan shifrini hal qilmasdan ishlash uchun zarurdir. Hujumchilar aqlli va kriptoga chidamli shifrlash algoritmlaridan foydalanadilar va ularni buzish nafaqat muammo, balki tashkilotlar uchun juda qimmatga tushadi.
Tizim quyidagicha ishlaydi. Bir oz trafik kompaniyaga keladi. U TLS (transport qatlami xavfsizligi) ga kiradi. Aytaylik, trafik shifrlangan. Biz qanday aloqa o'rnatilgani haqida bir qator savollarga javob berishga harakat qilamiz.
Encrypted Traffic Analytics (ETA) tizimi qanday ishlaydi
Ushbu savollarga javob berish uchun biz ushbu tizimda mashinani o'rganishdan foydalanamiz. Cisco'dan tadqiqot olib borildi va ushbu tadqiqotlar asosida 2 ta natijadan jadval tuziladi - zararli va "yaxshi" trafik. Albatta, biz hozirgi vaqtda tizimga qanday trafik to'g'ridan-to'g'ri kirganini aniq bilmaymiz, ammo biz jahon miqyosidagi ma'lumotlardan foydalangan holda kompaniya ichidagi va tashqarisidagi trafik tarixini kuzatishimiz mumkin. Ushbu bosqichning oxirida biz ma'lumotlar bilan katta jadvalga ega bo'lamiz.
Tadqiqot natijalariga ko'ra xarakterli xususiyatlar aniqlanadi - matematik shaklda yozilishi mumkin bo'lgan ma'lum qoidalar. Ushbu qoidalar turli mezonlarga qarab katta farq qiladi - uzatilgan fayllar hajmi, ulanish turi, ushbu trafik kelgan mamlakat va boshqalar. Ish natijasida ulkan stol formulalar to'plamiga aylandi. Ularning soni kamroq, ammo bu qulay ish uchun etarli emas.
Keyinchalik, mashinani o'rganish texnologiyasi qo'llaniladi - konvergentsiya formulasi va konvergentsiya natijasi asosida biz trigger - kalitni olamiz, bu erda ma'lumotlar chiqarilganda biz ko'tarilgan yoki tushirilgan holatda kalit (bayroq) olamiz.
Olingan bosqich - bu trafikning 99% ni qoplagan triggerlar to'plamini olish.
ETAda yo'l harakati tekshiruvi bosqichlari
Ish natijasida yana bir muammo hal qilinadi - ichkaridan hujum. O'rtadagi odamlar trafikni qo'lda filtrlashning hojati yo'q (men hozir o'zimni cho'kib ketyapman). Birinchidan, siz endi vakolatli tizim ma'muriga ko'p pul sarflashingiz shart emas (men o'zimni cho'ktirishda davom etaman). Ikkinchidan, ichkaridan (hech bo'lmaganda qisman) buzish xavfi yo'q.
Eskirgan odam-in-the-o'rta tushunchasi
Keling, tizim nimaga asoslanganligini aniqlaylik.
Tizim 4 ta aloqa protokoli boʻyicha ishlaydi: TCP/IP – Internet maʼlumotlar uzatish protokoli, DNS – domen nomlari serveri, TLS – transport qatlami xavfsizligi protokoli, SPLT (SpaceWire Physical Layer Tester) – jismoniy aloqa qatlamini tester.
ETA bilan ishlaydigan protokollar
Taqqoslash ma'lumotlarni solishtirish orqali amalga oshiriladi. TCP/IP protokollari yordamida saytlarning obro'si tekshiriladi (tashriflar tarixi, saytni yaratish maqsadi va boshqalar), DNS protokoli tufayli biz "yomon" sayt manzillarini o'chirib tashlashimiz mumkin. TLS protokoli saytning barmoq izi bilan ishlaydi va saytni kompyuterning favqulodda vaziyatlarga javob berish guruhiga (sertifikat) qarshi tekshiradi. Ulanishni tekshirishning oxirgi bosqichi jismoniy darajada tekshirishdir. Ushbu bosqichning tafsilotlari aniqlanmagan, ammo nuqta quyidagicha: osilografik qurilmalarda ma'lumotlarni uzatish egri chiziqlarining sinus va kosinus egri chiziqlarini tekshirish, ya'ni. Jismoniy qatlamdagi so'rovning tuzilishi tufayli biz ulanish maqsadini aniqlaymiz.
Tizimning ishlashi natijasida biz shifrlangan trafikdan ma'lumotlarni olishimiz mumkin. Paketlarni tekshirish orqali biz paketning o'zida shifrlanmagan maydonlardan imkon qadar ko'proq ma'lumotni o'qishimiz mumkin. Paketni jismoniy qatlamda tekshirish orqali biz paketning xususiyatlarini (qisman yoki to'liq) bilib olamiz. Shuningdek, saytlarning obro'si haqida unutmang. Agar so'rov ba'zi .onion manbasidan kelgan bo'lsa, unga ishonmaslik kerak. Ushbu turdagi ma'lumotlar bilan ishlashni osonlashtirish uchun xavf xaritasi yaratilgan.
ETA ishining natijasi
Va hamma narsa yaxshi ko'rinadi, lekin tarmoqni joylashtirish haqida gapiraylik.
ETA ning jismoniy amalga oshirilishi
Bu erda bir qator nuanslar va nozikliklar paydo bo'ladi. Birinchidan, bunday turdagi yaratishda
yuqori darajadagi dasturiy ta'minotga ega tarmoqlar, ma'lumotlarni yig'ish talab etiladi. Ma'lumotlarni to'liq qo'lda to'plang
yovvoyi, lekin javob tizimini joriy qilish allaqachon qiziqroq. Ikkinchidan, ma'lumotlar
juda ko'p bo'lishi kerak, ya'ni o'rnatilgan tarmoq sensorlari ishlashi kerak
nafaqat avtonom, balki nozik sozlangan rejimda ham bir qator qiyinchiliklarni keltirib chiqaradi.
Sensorlar va Stealthwatch tizimi
Sensorni o'rnatish bir narsa, lekin uni o'rnatish butunlay boshqa vazifadir. Sensorlarni sozlash uchun quyidagi topologiya bo'yicha ishlaydigan kompleks mavjud - ISR = Cisco Integrated Services Router; ASR = Cisco Aggregation Services Router; CSR = Cisco Cloud Services Router; WLC = Cisco Wireless LAN Controller; IE = Cisco Industrial Ethernet Switch; ASA = Cisco Adaptive Security Appliance; FTD = Cisco Firepower Threat Defense Solution; WSA = Veb xavfsizlik moslamasi; ISE = Identity Services Engine
Har qanday telemetrik ma'lumotlarni hisobga olgan holda kompleks monitoring
Tarmoq ma'murlari oldingi xatboshidagi "Cisco" so'zlari sonidan aritmiyani boshdan kechira boshlaydi. Ushbu mo''jizaning narxi unchalik katta emas, lekin biz bugun gaplashayotgan narsa emas ...
Xakerning xatti-harakati quyidagicha modellashtiriladi. Stealthwatch tarmoqdagi har bir qurilmaning faoliyatini diqqat bilan kuzatib boradi va oddiy xatti-harakatlar namunasini yaratishga qodir. Bundan tashqari, ushbu yechim ma'lum bo'lgan nomaqbul xatti-harakatlar haqida chuqur ma'lumot beradi. Yechim skanerlash, xost signalizatsiya ramkalari, shafqatsiz tizimga kirish, shubhali ma'lumotlarni olish, shubhali ma'lumotlar sizib chiqishi va boshqalar kabi turli xil trafik xatti-harakatlarini hal qiluvchi taxminan 100 xil tahlil algoritmlari yoki evristikadan foydalanadi. Ro'yxatda keltirilgan xavfsizlik hodisalari yuqori darajadagi mantiqiy signallar toifasiga kiradi. Ba'zi xavfsizlik hodisalari ham o'z-o'zidan signalni ishga tushirishi mumkin. Shunday qilib, tizim bir nechta izolyatsiya qilingan anomal hodisalarni o'zaro bog'lashi va mumkin bo'lgan hujum turini aniqlash uchun ularni birlashtirishi, shuningdek uni ma'lum bir qurilma va foydalanuvchi bilan bog'lashi mumkin (2-rasm). Kelajakda voqea vaqt o'tishi bilan va tegishli telemetriya ma'lumotlarini hisobga olgan holda o'rganilishi mumkin. Bu eng yaxshi holatda kontekstli ma'lumotni tashkil qiladi. Nima bo'lganini tushunish uchun bemorni tekshirayotgan shifokorlar simptomlarni alohida ko'rib chiqmaydilar. Tashxis qo'yish uchun ular katta rasmga qarashadi. Xuddi shunday, Stealthwatch tarmoqdagi har qanday g'ayritabiiy faoliyatni ushlaydi va kontekstdan xabardor signallarni yuborish uchun uni har tomonlama tekshiradi va shu bilan xavfsizlik mutaxassislariga xavflarni birinchi o'ringa qo'yishda yordam beradi.
Xulq-atvorni modellashtirish yordamida anomaliyalarni aniqlash
Tarmoqning jismoniy joylashuvi quyidagicha ko'rinadi:
Filial tarmog'ini joylashtirish opsiyasi (soddalashtirilgan)
Filial tarmog'ini joylashtirish opsiyasi
Tarmoq ishga tushirildi, ammo neyron haqidagi savol ochiqligicha qolmoqda. Ular ma'lumot uzatish tarmog'ini tashkil qilishdi, ostonada sensorlar o'rnatishdi va ma'lumot yig'ish tizimini ishga tushirishdi, ammo neyron bu masalada ishtirok etmadi. Xayr.
Ko'p qatlamli neyron tarmoq
Tizim zararli infektsiyalarni, buyruq va boshqaruv serverlari bilan aloqalarni, ma'lumotlar sizib chiqishini va tashkilot infratuzilmasida ishlayotgan potentsial kiruvchi ilovalarni aniqlash uchun foydalanuvchi va qurilma xatti-harakatlarini tahlil qiladi. Ma'lumotlarni qayta ishlashning bir nechta qatlamlari mavjud bo'lib, unda sun'iy intellekt, mashinani o'rganish va matematik statistika usullarining kombinatsiyasi tarmoqning o'z-o'zidan normal faoliyatini o'rganishga yordam beradi, shunda u zararli faoliyatni aniqlay oladi.
Kengaytirilgan tarmoqning barcha qismlaridan, shu jumladan shifrlangan trafikdan telemetriya ma'lumotlarini to'playdigan tarmoq xavfsizligini tahlil qilish quvuri Stealthwatchning o'ziga xos xususiyati hisoblanadi. U asta-sekin "anomal" nima ekanligini tushunishni rivojlantiradi, so'ngra "tahdid faoliyati" ning haqiqiy individual elementlarini toifalarga ajratadi va nihoyat, qurilma yoki foydalanuvchi haqiqatan ham buzilganmi yoki yo'qmi degan yakuniy xulosani chiqaradi. Aktivning buzilganligi to'g'risida yakuniy qaror qabul qilish uchun dalillarni tashkil etuvchi kichik qismlarni birlashtirish qobiliyati juda sinchkovlik bilan tahlil qilish va korrelyatsiya qilish orqali keladi.
Bu qobiliyat juda muhim, chunki odatiy biznes har kuni juda ko'p signallarni qabul qilishi mumkin va har birini tekshirishning iloji yo'q, chunki xavfsizlik bo'yicha mutaxassislar cheklangan resurslarga ega. Mashinani o'rganish moduli yuqori darajadagi ishonch bilan muhim voqealarni aniqlash uchun real vaqt rejimida katta hajmdagi ma'lumotlarni qayta ishlaydi, shuningdek, tezkor hal qilish uchun aniq harakat yo'nalishlarini taqdim etishga qodir.
Keling, Stealthwatch tomonidan qo'llaniladigan ko'plab mashinani o'rganish usullarini batafsil ko'rib chiqaylik. Hodisa Stealthwatch’ning mashinani o‘rganish mexanizmiga yuborilganda, u nazorat qilinadigan va nazoratsiz mashinani o‘rganish usullari kombinatsiyasidan foydalanadigan xavfsizlik tahlili hunisidan o‘tadi.
Ko'p darajali mashinani o'rganish imkoniyatlari
1-daraja. Anomaliyalarni aniqlash va ishonchni modellashtirish
Ushbu darajada statistik anomaliya detektorlari yordamida trafikning 99% o'chiriladi. Ushbu sensorlar birgalikda nima normal va nima, aksincha, g'ayritabiiylikning murakkab modellarini tashkil qiladi. Biroq, anormallik har doim ham zararli emas. Sizning tarmog'ingizda sodir bo'layotgan ko'p voqealar tahdid bilan hech qanday aloqasi yo'q - bu juda g'alati. Bunday jarayonlarni tahdid qiluvchi xatti-harakatlardan qat'iy nazar tasniflash muhimdir. Shu sababli, bunday detektorlarning natijalari tushuntirilishi va ishonchli bo'lishi mumkin bo'lgan g'alati xatti-harakatlarni qo'lga kiritish uchun qo'shimcha tahlil qilinadi. Oxir-oqibat, eng muhim mavzular va so'rovlarning faqat kichik bir qismi uni 2 va 3 qatlamlarga qiladi. Mashinani o'rganishning bunday usullaridan foydalanmasdan, signalni shovqindan ajratishning operatsion xarajatlari juda yuqori bo'ladi.
Anomaliyalarni aniqlash. Anomaliyalarni aniqlashning birinchi bosqichi statistik normal trafikni anomal trafikdan ajratish uchun statistik mashinani o'rganish usullaridan foydalanadi. 70 dan ortiq individual detektorlar Stealthwatch sizning tarmoq perimetri orqali o'tadigan trafik bo'yicha to'playdigan telemetriya ma'lumotlarini qayta ishlaydi va agar mavjud bo'lsa, proksi-server ma'lumotlaridan ichki Domen nomi tizimi (DNS) trafigini ajratadi. Har bir so'rov 70 dan ortiq detektor tomonidan qayta ishlanadi, har bir detektor aniqlangan anomaliyalarni baholash uchun o'z statistik algoritmidan foydalanadi. Ushbu ballar birlashtiriladi va har bir alohida so'rov uchun bitta ball ishlab chiqarish uchun bir nechta statistik usullar qo'llaniladi. Keyinchalik bu umumiy ball normal va anomal trafikni ajratish uchun ishlatiladi.
Ishonchni modellashtirish. Keyinchalik, shunga o'xshash so'rovlar guruhlarga bo'linadi va bunday guruhlar uchun umumiy anomaliya balli uzoq muddatli o'rtacha sifatida aniqlanadi. Vaqt o'tishi bilan uzoq muddatli o'rtacha qiymatni aniqlash uchun ko'proq so'rovlar tahlil qilinadi va shu bilan noto'g'ri ijobiy va noto'g'ri salbiylarni kamaytiradi. Ishonchli modellashtirish natijalari anomaliya balli keyingi ishlov berish darajasiga o'tish uchun dinamik ravishda belgilangan chegaradan oshib ketadigan trafik to'plamini tanlash uchun ishlatiladi.
2-daraja. Hodisalarni tasniflash va ob'ektni modellashtirish
Ushbu darajada, oldingi bosqichlarda olingan natijalar tasniflanadi va aniq zararli hodisalarga tayinlanadi. Hodisalar 90% dan yuqori aniqlik darajasini taʼminlash uchun mashinani oʻrganish tasniflagichlari tomonidan tayinlangan qiymat asosida tasniflanadi. Ular orasida:
- Neyman-Pirson lemmasi asosida chiziqli modellar (maqola boshidagi grafikdan normal taqsimlanish qonuni)
- ko'p o'zgaruvchan o'rganish yordamida vektor mashinalarini qo'llab-quvvatlash
- neyron tarmoqlari va tasodifiy o'rmon algoritmi.
Ushbu izolyatsiya qilingan xavfsizlik hodisalari vaqt o'tishi bilan bitta so'nggi nuqta bilan bog'lanadi. Aynan shu bosqichda tahdid tavsifi shakllantiriladi, uning asosida tegishli tajovuzkor qanday qilib ma'lum natijalarga erishganligi haqida to'liq rasm yaratiladi.
Hodisalarning tasnifi. Oldingi darajadagi statistik anomal kichik to'plam tasniflagichlar yordamida 100 yoki undan ortiq toifalarga taqsimlanadi. Ko'pgina tasniflagichlar individual xatti-harakatlar, guruh munosabatlari yoki global yoki mahalliy miqyosdagi xatti-harakatlarga asoslanadi, boshqalari esa juda aniq bo'lishi mumkin. Masalan, tasniflagich C&C trafigini, shubhali kengaytmani yoki ruxsatsiz dasturiy ta'minotni yangilashni ko'rsatishi mumkin. Ushbu bosqich natijalariga ko'ra, ma'lum toifalarga tasniflangan xavfsizlik tizimidagi anomal hodisalar to'plami shakllanadi.
Ob'ektni modellashtirish. Agar ma'lum bir ob'ektning zararli ekanligi haqidagi gipotezani tasdiqlovchi dalillar miqdori muhimlik chegarasidan oshsa, tahdid aniqlanadi. Tahdidning ta'rifiga ta'sir qilgan tegishli hodisalar bunday tahdid bilan bog'lanadi va ob'ektning diskret uzoq muddatli modelining bir qismiga aylanadi. Vaqt o'tishi bilan dalillar to'planganligi sababli, tizim muhimlik chegarasiga erishilganda yangi tahdidlarni aniqlaydi. Ushbu chegara qiymati dinamik bo'lib, tahdid xavfi darajasi va boshqa omillar asosida aqlli ravishda sozlanadi. Shundan so'ng, tahdid veb-interfeysning ma'lumot panelida paydo bo'ladi va keyingi darajaga o'tkaziladi.
3-daraja. Munosabatlar modellashtirish
O'zaro munosabatlarni modellashtirishning maqsadi - oldingi darajalarda olingan natijalarni global nuqtai nazardan, nafaqat mahalliy, balki tegishli hodisaning global kontekstini ham hisobga olgan holda sintez qilishdir. Aynan shu bosqichda siz qancha tashkilot bunday hujumga duch kelganini aniqlashingiz mumkin, bu sizga maxsus qaratilganmi yoki global kampaniyaning bir qismimi va siz qo'lga tushdingiz.
Hodisalar tasdiqlangan yoki aniqlangan. Tasdiqlangan hodisa 99 dan 100% gacha ishonchni bildiradi, chunki tegishli texnika va vositalar ilgari kattaroq (global) miqyosda amalda kuzatilgan. Aniqlangan hodisalar sizga xos boʻlib, yuqori maqsadli kampaniyaning bir qismini tashkil qiladi. Oʻtgan topilmalar maʼlum harakat yoʻnalishi bilan baham koʻriladi, bu sizga javoban vaqt va resurslarni tejaydi. Ular sizga kim hujum qilganini va kampaniya sizning raqamli biznesingizga qanchalik qaratilganligini tushunishingiz kerak bo'lgan tergov vositalari bilan birga keladi. Tasavvur qilganingizdek, tasdiqlangan hodisalar soni aniqlanganlar sonidan ancha yuqori, chunki tasdiqlangan hodisalar hujumchilarga katta xarajatlarni talab qilmaydi, aniqlangan hodisalar esa.
qimmat, chunki ular yangi va moslashtirilgan bo'lishi kerak. Tasdiqlangan hodisalarni aniqlash qobiliyatini yaratib, o'yin iqtisodiyoti nihoyat himoyachilar foydasiga o'zgarib, ularga aniq ustunlik berdi.
ETA asosida neyron aloqa tizimini ko'p bosqichli o'qitish
Global xavf xaritasi
Global xavf xaritasi sanoatdagi eng yirik ma'lumotlar to'plamlaridan biriga mashina o'rganish algoritmlari tomonidan qo'llaniladigan tahlillar orqali yaratilgan. U noma'lum bo'lsa ham, Internetdagi serverlar bilan bog'liq xatti-harakatlar haqida keng statistik ma'lumotlarni taqdim etadi. Bunday serverlar hujumlar bilan bog'langan va kelajakda hujumning bir qismi sifatida ishtirok etishi yoki ishlatilishi mumkin. Bu "qora ro'yxat" emas, balki xavfsizlik nuqtai nazaridan ko'rib chiqilayotgan serverning to'liq tasviri. Ushbu serverlar faoliyati haqidagi kontekstual maʼlumotlar Stealthwatch’ning mashinani oʻrganish detektorlari va tasniflagichlariga bunday serverlar bilan aloqa qilish bilan bogʻliq xavf darajasini aniq bashorat qilish imkonini beradi.
Siz mavjud kartalarni ko'rishingiz mumkin .
460 million IP manzilni ko'rsatadigan jahon xaritasi
Endi tarmoq o'rganadi va tarmog'ingizni himoya qilish uchun turadi.
Nihoyat, panatseya topildimi?
Afsuski, yo'q. Tizim bilan ishlash tajribasidan shuni aytishim mumkinki, 2 ta global muammo bor.
Muammo 1. Narx. Butun tarmoq Cisco tizimida joylashtirilgan. Bu ham yaxshi, ham yomon. Yaxshi tomoni shundaki, siz D-Link, MikroTik va boshqalar kabi bir nechta vilkalarni o'rnatishingiz va o'rnatishingiz shart emas. Kamchilik - bu tizimning katta narxi. Rossiya biznesining iqtisodiy ahvolini hisobga oladigan bo'lsak, hozirgi vaqtda faqat yirik kompaniya yoki bankning badavlat egasi bu mo''jizani ko'rsatishi mumkin.
2-muammo: Trening. Men maqolada neyron tarmoq uchun o'quv davrini yozmadim, lekin u mavjud emasligi uchun emas, balki u doimo o'rganayotgani va qachon o'rganishini oldindan aytib bera olmaymiz. Albatta, matematik statistika vositalari mavjud (Pirson konvergentsiya mezonining bir xil formulasini oling), ammo bu yarim o'lchovlar. Biz trafikni filtrlash ehtimolini olamiz va hatto hujum allaqachon o'zlashtirilgan va ma'lum bo'lgan taqdirda ham.
Ushbu 2 ta muammoga qaramay, biz umuman axborot xavfsizligi va xususan, tarmoq himoyasini rivojlantirishda katta sakrashga erishdik. Bu fakt hozirda juda istiqbolli yo'nalish bo'lgan tarmoq texnologiyalari va neyron tarmoqlarni o'rganish uchun turtki bo'lishi mumkin.
Manba: www.habr.com