امنیت
آلیاسیس آرتباط
یک دیدگاه

یادگیری ماشین در سیسکو Stealthwatch

یادگیری ماشین درسیسکو Stealthwatch

( قسمت دوم)

لایه دوم: طبقه بندی رویداد و مدل سازی موجودیت

این لایه بر طبقه بندی یافته های مراحل گذشه در قالب رویدادهای مخرب خاصی تمرکز دارد.

به عبارت ساده تر در این لایه سعی براین است. که الگوهای تهدیدی را در ترافیک ناهنجار کشف کنیم. یا به عبارت دیگر ترافیک ناهنجار را در الگوهای تهدیدی مشابه طبقه بندی کنیم. طبقه بندی رخداد به وسیله دسته ای از طبقه بندی کننده های یادگیری ماشین انجام می شود. که نرخ دقت آنها بیش از ۹۰% است، شامل:

مدل های خطی بر پایه ی Neyman-Pearson

ماشین بردار پشتیبانی (Support Vector Machine (SVM با استفاده از یادگیری چند نمونه ای

شبکه های عصبی و جنگل های تصادفی

این رویدادهای امنیتی با یک نقطه خاص مرتبط هستند. این نقطه جایی است که داستان تهدید در حال جمع شدن است. در نتیجه در یک نمای کامل می بینیم که چگونه این تهدید کننده داخلی یا خارجی یک خروجی خاص از ترافیک را افزایش می دهد.

طبقه بندی رویداد(event classification) و یادگیری ماشین در سیسکو Stealthwatch

زیر مجموعه های آماری غیرعادی با استفاده از طبقه بندی کننده های به بیش از ۱۰۰ دسته تقسیم می شوند. بیشتر طبقه بندی کننده ها برپایه رفتار فردی، روابط گروهی ، یا رفتار در مقیاس جهانی و محلی تصمیم گیری می کنند. در حالی که برخی طبقه بندی کننده ها هم می توانند فرمول ها و قواعد بسیار معین و مشخص داشته باشند.

برای مثال یک طبقه بندی کننده ممکن است ترافیک ,(command and control(C2, C&C، افزونه مشکوک، یا یک آپدیت ناشناخته نرم افزاری را نشان دهد.
خروجی این فاز دسته ای از رویدادهای غیرعادی دسته بندی شده با رابطه امنیتی می باشد. بنابراین در این لایه ترافیک های ناهنجار که نمره ناهنجاری آنها بالاتر از حد آستانه است را به وسیله ی طبقه بندی کننده های موجود طبقه بندی می کنند.

مدل سازی موجودیت(entity modelling) و یادگیری ماشین در سیسکو Stealthwatch

اگر مدارک موجود که فرضیه های مخرب در مورد یک موجودیت خاص را بیان می کنند بیش از حد تعیین شده باشد یک تهدید به وجود آمده است. رویدادهایی که در به وجود آمدن تهدید شرکت کرده اند و به آن تهدید مرتبط هستند بخشی از مدل بلند مدت موجودیت می شوند. با جمع شدن مدارک در طول زمان سیستم در صورت رسیدن مدارک به حد نصاب تهدیدهای جدیدی را می سازد. این حد تعیین شده پویا و هوشمند براساس سطح خطر تهدید و دیگر فاکتورها تنظیم می شود در نهایت تهدید در داشبورد رابط کاربری وب قابل مشاهده می شود.

به عبارتی پس از گروه بندی ترافیک ناهنجار در لایه اول در لایه دوم این ترافیک ناهنجار در دسته های خاص تهدید ها طبقه بندی می شوند. و در صورت داشتن مدارک کافی به عنوان تهدید شناخته شده و به مدیر سیستم در رابط کاربری نمایش داده می شوند.

لایه سوم:  مدل ساز رابطه ها (releationships modeling)

اهداف مدل سازی رابطه ها ترکیب کردن لایه های گذشته با یک دید و زمینه جهانی در مورد حادثه است، و تنها اکتفا به زمینه و دید محلی در مورد تهدیدها کافی نیست.
این جا جایی است که شما می توانید ببینید چگونه سازمان های جهانی این حمله را ارزیابی می کنند. و شما خواهید دانست که آیا مورد حمله ای خاص قرار گرفته اید یا تحت تأثیر یک کمپین و حمله تهدید جهانی قرار گرفته اید. حوادث و تهدید هایی که در این مرحله در دسته ی حوادث تأیید شده(Confirmed events) قرار بگیرند با اطمینان ۹۹ تا ۱۰۰ درصد به عوان یک تهدید مورد قبول واقع می شوند زیرا روش ها و تکنولوژی های این نوع تهدید در سطح بین المللی قبلاً مشاهده شده است.

اما حوادث و تهدید هایی که در این مرحله در دسته ی حوادث شناسایی شده(Detected events) قرار بگیرند بسیار هدفمند هستند و تنها مختص شما طراحی شده اند. از آنجا که عملیات مشخصی برای پاسخ به حملات تأیید  شده وجود دارد با این کار زمان و منابع را در پاسخ به این نوع حوادث ذخیره می کنید. و با ابزارهای بررسی stealthwatch می توانید مهاجم و گستره حمله مهاجم بر روی کسب و کارتان را متوجه شوید. همانگونه که متوجه شدید، شمار حملات تأیید شده بسیار بیشتر از حملات شناسایی شده است، زیرا حملات تأیید شده برای مهاجم بسیار ارزان تر هستند اما در حملات شناسایی شده مهاجم می بایست هزینه زیادی برای طراحی کردن و سفارشی کردن یک حمله انجام دهد.

با فعال کردن تشخیص حملات تأیید شده جنبه اقتصادی این بازی به میل مدافعان می شود و مزیت های بیشتری به مدافعان می دهد.

+ نقشه خطر جهانی

نقشه خطر جهانی نتایج تحلیل اعمال شده به وسیله ی الگوریتم های یادگیری ماشین بر روی دسته های بزرگی از داده های این مدلی در صنعت است. آنها یک آمار رفتاری گسترده در مورد سرورهای فعال بر بستر اینترنت(حتی اگر ناشناخته باشند) تهیه می کنند. این سرورها به حملات و یا حملاتی که قسمتی از حملات آینده هستند مرتبط می باشند.

این یک لیست سیاه نیست بلکه یک تصویر جامع از سرورهای مدنظر از لحاظ امنیتی است. این اطلاعات context driven در مورد این سرورها به طبقه بندی کننده ها و تشخیص دهنده های بر پایه یادگیری ماشین در stealthwtch اجازه می دهد دقیقاً سطح خطر مرتبط با ارتباط با این سرورها را پیش بینی کند.
هماگونه که در ابتدا گفتیم مراحل بالا خلاصه ای از نحوه کارکردن یادگیری ماشین چند لایه در stealthwatch بود و حال آنکه این تکنولوژی تنها یکی از تکنولوژی های مدرن سیسکو بود و در آینده به بررسی سایر تکنولوژی های امنیتی سیسکو از جمله ETA)encrypted traffic analizer) خواهیم پرداخت.

یادگیری ماشین درسیسکو Stealthwatch ( قسمت اول)

نویسنده: حسین‌ولی پور

 

شناسه مطلب: ۵۷۶
منبع:
وبلاگ تخصصی آلیاسیس
1
16
16
فیسبوک توییتر گوگل + لینکداین تلگرام واتس اپ کلوب
آلیاسیس آرتباط

مطالب مرتبط

1 دیدگاه در “یادگیری ماشین در سیسکو Stealthwatch

amricaiiia ba yadgiri mashin donya ro motahavel mikonan ma koja ouna koja ) :

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هسته اصلی شرکت آلیاسیس ارتباط از سال 1383 تاکنون در زمینه فن آوری اطلاعات و ارتباطات ( ICT) فعالیت می نماید. شرکت آلیاسیس ارتباط با تجربه ای بالغ بر یک دهه حضور در صنعت فناوری اطلاعات و ارتباطات از تامین و توزیع تا ارائه خدمات مهندسی و خدمات پس از فروش به مجموعه کسب و کارهای بزرگ ، متوسط و کوچک در سه حوزه تجهیز تخصصی سخت افزارهای شبکه - ارائه خدمات مشاوره ، طراحی ، پیاده سازی ، پشتیبانی ، آموزش و خدمات پس از فروش در شبکه های محلی و گسترده ، امنیت شبکه ، مراکز داده و ارتباطات یکپارچه - ارائه راهکارهای جامع مبتنی بر شبکه های رایانه ایی ارائه خدمت می نماید.

دسترسی سریع