System zur Verkehrsanalyse ohne Entschlüsselung. Diese Methode wird einfach als "maschinelles Lernen" bezeichnet. Es stellte sich heraus, dass das System mit einer sehr hohen Wahrscheinlichkeit die Aktionen von Schadcode in verschlüsseltem Verkehr erkennen kann, wenn ein sehr großes Volumen an unterschiedlichem Datenverkehr in die Eingabe eines speziellen Klassifikators eingespeist wird.
Netzwerkbedrohungen haben sich geändert und sind intelligenter geworden. In letzter Zeit hat sich das Konzept von Angriff und Verteidigung geändert. Die Anzahl der Ereignisse im Netzwerk hat erheblich zugenommen. Angriffe sind ausgefeilter geworden, und Hacker haben ein breiteres Spektrum an Angriffen.
Laut Cisco-Statistiken haben Cyberkriminelle im vergangenen Jahr die Anzahl der Schadprogramme, die sie für ihre Aktivitäten verwenden, um die Verschlüsselung zu verbergen, verdreifacht. Aus der Theorie ist bekannt, dass der „richtige“ Verschlüsselungsalgorithmus nicht gehackt werden kann. Um zu verstehen, was im verschlüsselten Datenverkehr verborgen ist, müssen Sie ihn entweder mit Kenntnis des Schlüssels entschlüsseln oder versuchen, ihn mit verschiedenen Tricks zu entschlüsseln, indem Sie ihn entweder in die Stirn hacken oder einige Schwachstellen in kryptografischen Protokollen verwenden.
Bild der Netzwerkbedrohungen unserer Zeit
Maschinelles Lernen
! , .
(Machine Learning) — , , . «» . – -. «». ( 2- ). , - ( ) . , - ( ) () , , (). - , , , , . , , .
(if-else). . «» . .
. .
. 1 2012 – 10 , , 2 2011 .
. 20 . «- - ». . : , . , . - « ?». – . – 1 , – 0. ( ). ( ), .
, , . 2- . – , – .
, « ?». 2 . 1 – ( ). 2 – , ( ).
, . 2 – .
– . , – .
– ( , ). , .
. .
– . – ( ) « ». , , . - , ( ), .
— BrainPort.
2009 , « », – BrainPort. BrainPort : , , . , .
BrainPort
BrainPort
. , . – . , .
Encrypted Traffic Analytics
Encrypted Traffic Analytics Stealthwatch. Stealthwatch — Cisco , .
Stealthwatch Enterprise Flow Rate License, Flow Collector, Management Console Flow Sensor.
Cisco Stealthwatch
, . ( ), «» . – WannaCry, Tor .
Encrypted Traffic Analytics (ETA) . , .
. - . TLS (transport layer security — ). , . , .
Encrypted Traffic Analytics (ETA)
. Cisco 2 – «» . , , , . , .
– , . – , , , .. , . , .
, – – , () .
– , 99% .
ETA
– . , ( ). -, ( ). -, ( , ).
Man-in-the-Middle
, .
4 : TCP/IP – , DNS – , TLS – , SPLT (SpaceWire Physical Layer Tester) – .
, ETA
. TCP/IP ( , ..), DNS , «» . TLS «» (fingerprint) (cert). – . , : , .. , .
, . , . , ( ). , . - .onion , . , .
ETA
, , , .
ETA
. -,
, .
, – . -,
, ,
, , .
Stealthwatch
– , – . , , – ISR = Cisco (Cisco Integrated Services Router); ASR = Cisco (Cisco Aggregation Services Router); CSR = Cisco (Cisco Cloud Services Router); WLC = Cisco (Cisco Wireless LAN Controller); IE = Ethernet- Cisco (Cisco Industrial Ethernet); ASA = Cisco (Cisco Adaptive Security Appliance); FTD = Cisco Firepower Threat Defense; WSA = - (Web Security Appliance); ISE = (Identity Services Engine)
«Cisco» . , …
. Stealthwatch . , . 100 , , , , , , .. . . , , , ( 2). . . , , , , . . , Stealthwatch , , .
:
()
, . , , . .
, , , , . , , , .
, , , Stealthwatch. , «», « » , , , . , , .
, , — . , .
, Stealthwatch. Stealthwatch, , .
1 .
99 % . , , , , . , . — . . , , . 2 3 . .
. . 70 , Stealthwatch , , (DNS) - . 70 , , . , . .
. , . , - - . , , .
2 .
, , . , 90 %. :
. , , .
. 100 . , , . , , . , .
. , . , , . , . . - .
3 .
— , , , , . , , , , « ».
. 99 100 % , () . , . , , , . , , ,
, . , .
ETA
, . , . , . « », . , , Stealthwatch , .
.
, 460 IP-
.
, ?
, . , , 2 .
1. . Cisco. , . , D-Link, MikroTik .. – . , .
2. . , - , , - , . , ( ), . , .
2 , . , .