System zur Verkehrsanalyse ohne Entschlüsselung. Diese Methode wird einfach als "maschinelles Lernen" bezeichnet. Es stellte sich heraus, dass das System mit einer sehr hohen Wahrscheinlichkeit die Aktionen von Schadcode in verschlüsseltem Verkehr erkennen kann, wenn ein sehr großes Volumen an unterschiedlichem Datenverkehr in die Eingabe eines speziellen Klassifikators eingespeist wird.
![](https://habrastorage.org/webt/fo/gm/gp/fogmgpzb_m4enhdrd9fmhr-vg7m.png)
Netzwerkbedrohungen haben sich geändert und sind intelligenter geworden. In letzter Zeit hat sich das Konzept von Angriff und Verteidigung geändert. Die Anzahl der Ereignisse im Netzwerk hat erheblich zugenommen. Angriffe sind ausgefeilter geworden, und Hacker haben ein breiteres Spektrum an Angriffen.
Laut Cisco-Statistiken haben Cyberkriminelle im vergangenen Jahr die Anzahl der Schadprogramme, die sie für ihre Aktivitäten verwenden, um die Verschlüsselung zu verbergen, verdreifacht. Aus der Theorie ist bekannt, dass der „richtige“ Verschlüsselungsalgorithmus nicht gehackt werden kann. Um zu verstehen, was im verschlüsselten Datenverkehr verborgen ist, müssen Sie ihn entweder mit Kenntnis des Schlüssels entschlüsseln oder versuchen, ihn mit verschiedenen Tricks zu entschlüsseln, indem Sie ihn entweder in die Stirn hacken oder einige Schwachstellen in kryptografischen Protokollen verwenden.
![Bild der Netzwerkbedrohungen unserer Zeit](https://habrastorage.org/webt/av/n2/lc/avn2lcdcggrbnty_71uc8ajxi0q.jpeg)
Bild der Netzwerkbedrohungen unserer Zeit
Maschinelles Lernen
! , .
(Machine Learning) — , , . «» . – -. «». ( 2- ). , - ( ) . , - ( ) () , , (). - , , , , . , , .
(if-else). . «» . .
. .
. 1 2012 – 10 , , 2 2011 .
. 20 . «- - ». . : , . , . - « ?». – . – 1 , – 0. ( ). ( ), .
, , . 2- . – , – .
![Binomial- und Normalwahrscheinlichkeitsverteilungen](https://habrastorage.org/webt/h1/tp/_v/h1tp_vk9mzz5axc30h0zcduq1jy.png)
, « ?». 2 . 1 – ( ). 2 – , ( ).
, . 2 – .
– . , – .
– ( , ). , .
. .
– . – ( ) « ». , , . - , ( ), .
— BrainPort.
2009 , « », – BrainPort. BrainPort : , , . , .
![BrainPort Lutscher mit Brille und Kamera](https://habrastorage.org/webt/pg/-n/sq/pg-nsqsrlt1lixf9n3bjxbn8vok.jpeg)
BrainPort
![BrainPort bei der Arbeit](https://habrastorage.org/webt/f3/2a/gv/f32agv7s5zbci3ffich6ypa-phu.jpeg)
BrainPort
. , . – . , .
Encrypted Traffic Analytics
Encrypted Traffic Analytics Stealthwatch. Stealthwatch — Cisco , .
Stealthwatch Enterprise Flow Rate License, Flow Collector, Management Console Flow Sensor.
![Cisco Stealthwatch-Schnittstelle](https://habrastorage.org/webt/di/v5/zq/div5zqpbv9x6e6h7amxxki5hiuq.png)
Cisco Stealthwatch
, . ( ), «» . – WannaCry, Tor .
![Visualisierung des Wachstums der Verkehrsverschlüsselung im Netzwerk](https://habrastorage.org/webt/ne/xm/e4/nexme4mvoqdh9nyqj6asrjvis9w.png)
![Verschlüsselung in der Makroökonomie](https://habrastorage.org/webt/ia/oa/ev/iaoaevqx3618rcluqiyt3yu55hi.png)
Encrypted Traffic Analytics (ETA) . , .
. - . TLS (transport layer security — ). , . , .
![Prinzip der verschlüsselten Verkehrsanalyse (ETA)](https://habrastorage.org/webt/p0/iv/yl/p0ivylbclnglvlqabuf2nv3kblq.png)
Encrypted Traffic Analytics (ETA)
. Cisco 2 – «» . , , , . , .
– , . – , , , .. , . , .
, – – , () .
– , 99% .
![Schritte zum Überprüfen des Datenverkehrs in ETA](https://habrastorage.org/webt/wi/a9/aj/wia9ajw_t04z1bmwgr7ir8clhag.png)
ETA
– . , ( ). -, ( ). -, ( , ).
![Veraltetes Man-in-the-Middle-Konzept](https://habrastorage.org/webt/jn/zk/7n/jnzk7nvaf9qrqgv73qzsyas8yme.png)
Man-in-the-Middle
, .
4 : TCP/IP – , DNS – , TLS – , SPLT (SpaceWire Physical Layer Tester) – .
![Protokolle, die mit ETA arbeiten](https://habrastorage.org/webt/l3/n_/go/l3n_go4tj2mbb4j2_c-2q_9crwq.png)
, ETA
. TCP/IP ( , ..), DNS , «» . TLS «» (fingerprint) (cert). – . , : , .. , .
, . , . , ( ). , . - .onion , . , .
![ETA-Arbeitsergebnis](https://habrastorage.org/webt/4v/yx/ft/4vyxftdn35rhyjpbrc3smfid0tq.png)
ETA
, , , .
ETA
. -,
, .
, – . -,
, ,
, , .
![Sensoren und Stealthwatch](https://habrastorage.org/webt/ej/ye/4t/ejye4tnmb6jq9sbkbe0dggmacl4.png)
Stealthwatch
– , – . , , – ISR = Cisco (Cisco Integrated Services Router); ASR = Cisco (Cisco Aggregation Services Router); CSR = Cisco (Cisco Cloud Services Router); WLC = Cisco (Cisco Wireless LAN Controller); IE = Ethernet- Cisco (Cisco Industrial Ethernet); ASA = Cisco (Cisco Adaptive Security Appliance); FTD = Cisco Firepower Threat Defense; WSA = - (Web Security Appliance); ISE = (Identity Services Engine)
![Umfassende Überwachung basierend auf Telemetriedaten](https://habrastorage.org/webt/ev/eo/ec/eveoecowzvfube8jq_zrdnkdmce.png)
«Cisco» . , …
. Stealthwatch . , . 100 , , , , , , .. . . , , , ( 2). . . , , , , . . , Stealthwatch , , .
![Anomalieerkennung mittels Verhaltensmodellierung](https://habrastorage.org/webt/wy/sn/pb/wysnpbmfvwlymurocmcwjccbp28.png)
:
![Bereitstellungsoption für Zweigstellennetzwerke (vereinfacht)](https://habrastorage.org/webt/nt/ka/nf/ntkanfitr16jq9iilnsdbigkg8w.png)
()
![Bereitstellungsoption für Zweigstellennetzwerke](https://habrastorage.org/webt/10/1h/y5/101hy5ni3dwzsbiff5o1dg34rzo.png)
, . , , . .
, , , , . , , , .
, , , Stealthwatch. , «», « » , , , . , , .
, , — . , .
, Stealthwatch. Stealthwatch, , .
![Mehrstufige Funktionen für maschinelles Lernen](https://habrastorage.org/webt/t2/_t/wh/t2_twhpny65rorl1qiosgdujkiw.png)
1 .
99 % . , , , , . , . — . . , , . 2 3 . .
. . 70 , Stealthwatch , , (DNS) - . 70 , , . , . .
. , . , - - . , , .
2 .
, , . , 90 %. :
. , , .
. 100 . , , . , , . , .
. , . , , . , . . - .
3 .
— , , , , . , , , , « ».
. 99 100 % , () . , . , , , . , , ,
, . , .
![Mehrstufiges Training des neuronalen Kommunikationssystems basierend auf ETA](https://habrastorage.org/webt/2d/01/jy/2d01jy2ta365ilinzl-vdlynscm.png)
ETA
, . , . , . « », . , , Stealthwatch , .
.
![Weltkarte mit 460 Millionen IP-Adressen](https://habrastorage.org/webt/yq/_p/92/yq_p92lctkk1x69jkbztrdy_wzi.png)
, 460 IP-
.
, ?
, . , , 2 .
1. . Cisco. , . , D-Link, MikroTik .. – . , .
2. . , - , , - , . , ( ), . , .
2 , . , .