Программный комплекс нового поколения, основанный на интеллектуальных алгоритмах, для своевременного и точного обнаружения инцидентов информационной безопасности (ИБ) в автоматизированных системах. CL Thymus формирует комплексную модель системы, в том числе схему ее работы, и выявляет отклонения в работе ее компонентов. Комплекс совместим с любыми автоматизированными системами, не требует информации о топологии, особенностях применяемых протоколов и алгоритмов.
ОСОБЕННОСТИ
- Гибкое использование наработанной базы правил для разбора известного трафика наряду и применение алгоритмов машинного обучения для анализа неизвестных протоколов
- Автоматический разбор сетевых протоколов, для которых не определена спецификация (определение структуры полей и их семантики)
- Формирование модели объекта защиты на основе пассивного наблюдения за входящими и исходящими сигналами
- Выявление аномалий без активного взаимодействия с объектом защиты
- Функционирование без априорных знаний о системе
- Сочетание скорости сигнатурного анализа известных протоколов с универсальностью автоматического разбора для протоколов с неизвестной спецификацией
- Работа на основе созданной копии сетевого трафика, полученного от объектов защиты
- Формирование модели защищаемой системы
- Точное выявление аномалий
-
Применение технологий машинного обучения для раннего выявления аномалий
-
Инвентаризация компонентов системы и их взаимодействие
-
Поведенческий анализ компонентов системы
-
Автоматизированное моделирование системы
Алгоритм построения модели CL Thymus основан на пассивном наблюдении за работой каждого компонента защищаемой системы и не требует активного взаимодействия с ней.
В основе CL Thymus лежит запатентованный метод выявления аномалий, включает в себя два модуля:
- Модуль анализа неизвестного трафика и глубокой инспекции
- Модуль многоагентного моделирования
Базовый анализ трафика использует механизмы DPI для выделения информации из сетевых пакетов. Найденный неизвестный трафик сохраняется для дальнейшего анализа. Для неразобранных пакетов выполняется расчет нескольких характеристик, в том числе энтропии, взаимной информации и перплексии. На основании результатов выделяются границы полей неизвестного протокола, определяется их семантика и строится модель сетевого взаимодействия компонентов защищаемой системы.
В рамках многоагентного подхода каждый компонент или сервис защищаемой системы – это агент, а сама система – набор этих агентов, которые взаимодействуют между собой. Многоагентный подход позволяет как детектировать, так и локализовать аномалии.
- разбор неизвестного трафика и формирование правил для его дальнейшего анализа
- определение схемы сети и иерархии адресов
- определение компонентов системы: узлов сети и сервисов, действующих в их рамках
Возможно обучение модели одним или несколькими способами обучения. Модель обучается, пока не достигнет заданных метрик точности предсказания.
После завершения обучения модели следующие события будут считаться аномалиями в работе системы:
- Изменение иерархии адресов
- Появление новых узлов в сети
- Запуск на узлах новой службы
- Другие изменения в сети
- Отличия наблюдаемых выходных сигналов от спрогнозированных на основании модели системы и наблюдаемых выходных сигналов
CL Thymus позволяет локализовать аномалии с точностью до моделируемого компонента системы, определяя все входные сигналы и причины, которые могли повлиять на нормальную работу объекта защиты.
При выявлении ложноположительной аномалии возможно дообучение модели.