یادگیری ماشین سیسکو Stealthwatch

یادگیری ماشین سیسکو Stealthwatch

( قسمت اول)

در این مقاله می خواهیم تکنولوژی جدید و کاربردی سیسکو یعنی یادگیری ماشین چندلایه که در محصول stealthwatch به کار برده شده است را بررسی کنیم. سیسکو به منظور بدست آوردن دانش لازم برای تولید محصول stealthwatch به همراه تکنولوژی های امنیتی جدید آن، مجبور به خرید شرکت Encope به قیمت ۴۵۰ میلیون دلارشد و با همکاری این شرکت توانست محصولات امنیتی خود را ارتقا دهد و خود را به صدر بازار امنیتی بکشاند.

راه حل های امنیتی  سیسکو امروزه در صدر راه حل های امنیتی شبکه های خصوصی، ابری و رمزنگاری شده هستند. طبق گزارشات مؤسسات مختلف فعال در حوزه رده بندی محصولات امنیتی، محصولات سیسکو در سال ۲۰۱۹ توانسته در صدر محصولات امنیتی بازار قرار گیرد. راه حل های امنیتی سیسکو در سال ۲۰۱۹ بسیار پر استقبال بوده‌اند و در رقابت با راه حل های امنیتی سایر شرکت ها توانسته اند سهم قابل توجهی از بازار را کسب کنند.

در گزارش شرکت Gartner که تمام محصولات امنیتی بازار ۲۰۱۹ را از جنبه های امنیتی مختلف مقایسه کرده است. پس از انجام تست های امنیتی مختلف روی اکثر محصولات امنیتی رایج، شرکت سیسکو با راه حل های stealthwatch ادغام شده با ISE در صدر این رقابت قرار گرفته است. همچنین با استفاده از محصولات امنیتی سیسکو می توانید ROI را ۱۲۰ درصد افزایش دهید و از منظر اقتصادی نیز پس انداز قابل توجهی برای شرکت خود حاصل کنید در این رابطه می توانید گزارش شرکت Forrester در مورد سیسکو و صرفه اقتصادی محصولات سیسکو مطالعه کنید.

نگاهی عمیق به تکنیک های مدل سازی رفتار و یادگیری ماشین سیسکو Stealthwatch

افزایش پیچیدگی در شبکه های سازمانی نقاط کور بسیاری را ایجاد می کند. کارمندان از نقاط مختلف با دستگاه های مختلفی به شبکه وصل می شوند. شمار دستگاه های هوشمند که به شبکه دسترسی دارند و از سرویس های ابری استفاده می کنند در حال رشد است. و رمز گذاری ترافیک برای حفاظت از داده ها و حفظ حریم خصوصی در حل افزایش است. همه اینها سازمان ها را قادر ساخته که نتایج کسب وکارها را سرعت بخشیده و به سمت دیجیتال سازی پیش روند. اما در عین حال، فرصت برای تهدید های مهاجمین برای پنهان شدن و نشستن در داخل کسب و کار دیجیتال شما افزایش یافته است. تهدید ها در حال رشد کردن سریع با توجه به گسترش مقیاس و پیچیدگی هستند.

تکنیک های تحلیل چندگانه که در stealthwatch با یکدیگر کار می کنند عبارتند از:

– مدلسازی رفتار

– یادگیری ماشین چندلایه

– هوش جهانی تهدید

ما در ادامه، یادگیری ماشین چندلایه به کار رفته در Stealthwatch سیسکو را به طور مختصر بررسی خواهیم کرد.

یادگیری ماشین چندلایه

بیاید نگاهی دقیق تر به تکنولوژی یادگیری ماشین چندلایه به کار رفته در stealthwatch بیندازیم. هنگامی که یک حادثه از موتور یادگیری ماشین stealthwatch می گذرد. آن حادثه از قیفی از تحلیل های امنیتی که از ترکیب موتور یادگیری ماشین بدون ناظر و یادگیری ماشین تحت نظارت استفاده می کند عبور می کند.

لایه اول : تشخیص ناهنجاری و مدل سازی قابل اعتماد

این لایه می تواند با کمک تشخیص دهنده های ناهنجاری آماری، ۹۹ درصد از ترافیک استاندارد را حذف کند و حدود ۱درصد ترافیکی که توسط تشخیص دهنده ها غیر نرمال تشخیص داده می شوند را به لایه های بالاتر بررسی تهدید و ترافیک منتقل کند. این تشخیص دهنده ها با یکدیگرمدل های پیچیده ای از آنچه نرمال و غیرنرمال هست را پشتیبانی می کنند. اما آنچه غیرعادی است ضرورتاً مهاجم نیست، چیزهای زیادی در شبکه شما اتفاق می افتد که هیچ ارتباطی به تهدید ندارند بلکه فقط عجیب هستند. و مهم است که آن ها را جدا از رفتار تهدید آمیز طبقه بندی کنیم.

به همین دلیل خروجی این آشکارسازها بیشتر تحلیل و بررسی می شود تا به یاد داشته باشیم کدام رفتار و ترافیک غیر عادی هستند ولی می توان به آن اعتماد کرد. و در نتیجه درصد کمی از ترافیک به عنوان ترافیک مخرب شناسایی شده و برای مراحل بعدی بررسی به لایه های ۲ و۳ منتقل می شوند.بدون به کاربردن تکنولوژی های یادگیری ماشین این چنینی هزینه عملیات جداسازی سیگنال از نویز بسیار گران تر خواهد بود.

تشخیص ناهنجاری(Anomaly Detection)

در گام اول لایه ی تشخیص ناهنجاری با یه کارگیری روش یادگیری ماشین آماری، ترافیک خلاف قاعده و ناهنجار را از ترافیک نرمال جدا می سازد. بیش از ۷۰ تشخیص دهنده ی مستقل recordes هایی که  stealthwatch با استفاده از telemetry از ترافیک عبوری از شبکه، DNS داخلی و Proxy(در صورت وجود) جمع آوری کرده را پردازش می کنند.

هر request با بیش از ۷۰ تشخیص دهنده  ناهنجاری پردازش می شود و هر تشخیص دهنده الگوریتم آماری متفاوتی را اعمال می کند. و یک نمره برای ناهنجاری ها تولید می کند. در نهایت تمامی این نمره هایی که توسط هر تشخیص دهنده مجزا به دست آمده جمع آوری می شوند و با استفاده از روش های آماری چندگانه در نهایت یک نمره به هر درخواست(request) اختصاص داده می شود و با کمک این نمره می توان ترافیک نرمال را از غیرنرمال تشخیص داد.

مدل سازی قابل اعتماد(Trust Modeling) در یادگیری ماشین سیسکو Stealthwatch

سپس، درخواست های مشابه با یکدیگر گروه بندی می شوند و نمره ناهنجاری برای این گروه ها جمع آوری و محاسبه می شود.
با گذشت زمان، درخواست های بیشتری برای تولید نمره میانگین بلند مدت ناهنجاری ها تحلیل می شوند، در این مرحله ما ترافیک را لایه بندی می کنیم و زیر مجموعه هایی از ترافیک که نمره ناهنجاری آنها از یک حدآستانه ی پویا ی معین بالاتر باشد  برای بررسی بیشتر به لایه بالاتر منتقل می شوند. در لایه های بالاتر به بررسی بیشتر ترافیک های ناهنجار خواهیم پرداخت تا از وجود یا عدم وجود تهدید در این ترافیک های ناهنجار مطمن شویم.

در مقاله بعدی –یادگیری ماشین درسیسکو Stealthwatch (قسمت دوم)لایه های بالاتر یادگیری ماشین چند لایه را توضیح خواهیم داد.

نویسنده:حسین ولی‌پور

فیسبوک توییتر گوگل + لینکداین تلگرام واتس اپ کلوب

1 دیدگاه در “یادگیری ماشین سیسکو Stealthwatch

لایک ولی پور

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *