notice_me_senPAIN9 янв в 07:14

За грань netflow: что получается, если отказаться от ограничений

Сложный

41 мин

1.5K

Информационная безопасность * Машинное обучение *

Кейс

Комментарии 6

serejk 10 янв в 01:47

А в чем принципиальное отличие от сигнатурного анализа в DPI системах?

notice_me_senPAIN 10 янв в 06:23

Сигнатуру написать сложно или вовсе невозможно при использовании приложением шифрования (SSL/TLS, DoH/DoT/DNSCrypt, проброс через SSH и т.д.). Дополнительно можно развернуть сервер на IP-адресах хостинг-провайдера и абстрагироваться от косвенной идентификации по AS. Для ML/extended netflow IP-адрес является идентификационным параметром и не принимает участия в формировании датасета, а шифрование комплексно повлияет на поток и сильнее всего на энтропию нагрузки, что принимается за признаки для ML. То есть любые шифрования для ML/extended netflow не являются ограничениями.

Минорное изменение или перемещение (относительно IP/DNS/SSL, что любят делать С2 ВПО) приложения может повлиять на сигнатуру и "поломать" сигнатурный анализ, обнаружение ML/extended netflow будет работать, пока совпадает сам принцип взаимодействия приложения в неизвестных (пока) пределах.

Дополнительно меняется процесс подготовки обнаружения. Для сигнатурного анализа нужно писать сигнатуру. Для ML/extended netflow нужен правильно собранный и размеченный трафик и его добавление в процесс обучения моделей.

serejk 10 янв в 07:33

Я бы все же не стал это как-то сравнивать с netflow, оно вообще для другого задумывалось и используется. У вас ближе к Cisco NBAR. Ну и статей много на эту тему, если поискать "ML for DPI".

notice_me_senPAIN 10 янв в 08:00

Несомненно, задачи DPI на текущий момент решаются своими рабочими методами, но промежуточный результат в виде "была обнаружен работа приложения X + метаданные" схож с ML/extended netflow.

Если судить по скудной документации к Cisco NBAR, то нет, не ближе. NBAR использует данные от транспортного уровня ЭМВОС и выше, а ML/extended netflow -- не выше транспортного. Если у вас есть более подробные материалы по NBAR, то буду рад с ними ознакомиться.

concorde 20 янв в 16:13

что такое ЭМВОС? это новояз?

notice_me_senPAIN 21 янв в 06:57

Наоборот, старояз. Если обратиться к учебной литературе, примерно по которой учился я, то можно увидеть следующее:

В начале 80-х годов ряд международных организаций по стандартизации - ISO, ITU-T и некоторые другие - разработали модель, которая сыграла значительную роль в развитии сетей. Эта модель называется эталонной моделью взаимодействия открытых систем (Open System Interconnection, OSI, ЭМВОС) или моделью OSI.
...
В основе эталонной моделью взаимодействия открытых систем ЭМВОС (OSI) лежат...

Получается, что ЭМВОС есть прямой перевод на русский язык именования Reference Model of Open Systems Interconnection.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий