Программный комплекс нового поколения, основанный на интеллектуальных алгоритмах, для своевременного и точного обнаружения инцидентов информационной безопасности (ИБ) в автоматизированных системах. CL Thymus формирует комплексную модель системы, в том числе схему ее работы, и выявляет отклонения в работе ее компонентов. Комплекс совместим с любыми автоматизированными системами, не требует информации о топологии, особенностях применяемых протоколов и алгоритмов.

ОСОБЕННОСТИ

  • Гибкое использование наработанной базы правил для разбора известного трафика наряду и применение алгоритмов машинного обучения для анализа неизвестных протоколов
  • Автоматический разбор сетевых протоколов, для которых не определена спецификация (определение структуры полей и их семантики)
  • Формирование модели объекта защиты на основе пассивного наблюдения за входящими и исходящими сигналами
  • Выявление аномалий без активного взаимодействия с объектом защиты
ПРЕИМУЩЕСТВА
ГИБКОСТЬ
  • Функционирование без априорных знаний о системе
  • Сочетание скорости сигнатурного анализа известных протоколов с универсальностью автоматического разбора для протоколов с неизвестной спецификацией
НЕИНВАЗИВНОСТЬ
  • Работа на основе созданной копии сетевого трафика, полученного от объектов защиты
  • Формирование модели защищаемой системы
  • Точное выявление аномалий
ПРИНЦИПЫ РАБОТЫ
  • Применение технологий машинного обучения для раннего выявления аномалий

  • Инвентаризация компонентов системы и их взаимодействие

  • Поведенческий анализ компонентов системы

  • Автоматизированное моделирование системы

Алгоритм построения модели CL Thymus основан на пассивном наблюдении за работой каждого компонента защищаемой системы и не требует активного взаимодействия с ней.

В основе CL Thymus лежит запатентованный метод выявления аномалий, включает в себя два модуля:

  • Модуль анализа неизвестного трафика и глубокой инспекции
  • Модуль многоагентного моделирования
МОДУЛЬ АНАЛИЗА НЕИЗВЕСТНОГО ТРАФИКА И ГЛУБОКОЙ ИНСПЕКЦИИ

Базовый анализ трафика использует механизмы DPI для выделения информации из сетевых пакетов. Найденный неизвестный трафик сохраняется для дальнейшего анализа. Для неразобранных пакетов выполняется расчет нескольких характеристик, в том числе энтропии, взаимной информации и перплексии. На основании результатов выделяются границы полей неизвестного протокола, определяется их семантика и строится модель сетевого взаимодействия компонентов защищаемой системы.

МОДУЛЬ МНОГОАГЕНТНОГО МОДЕЛИРОВАНИЯ

В рамках многоагентного подхода каждый компонент или сервис защищаемой системы – это агент, а сама система – набор этих агентов, которые взаимодействуют между собой. Многоагентный подход позволяет как детектировать, так и локализовать аномалии.

РЕЖИМЫ ФУНКЦИОНИРОВАНИЯ ОБУЧЕНИЕ
Training
  • разбор неизвестного трафика и формирование правил для его дальнейшего анализа
  • определение схемы сети и иерархии адресов
  • определение компонентов системы: узлов сети и сервисов, действующих в их рамках

Возможно обучение модели одним или несколькими способами обучения. Модель обучается, пока не достигнет заданных метрик точности предсказания.

ВЫЯВЛЕНИЕ АНОМАЛИЙ

После завершения обучения модели следующие события будут считаться аномалиями в работе системы:

  • Изменение иерархии адресов
  • Появление новых узлов в сети
  • Запуск на узлах новой службы
  • Другие изменения в сети
  • Отличия наблюдаемых выходных сигналов от спрогнозированных на основании модели системы и наблюдаемых выходных сигналов

CL Thymus позволяет локализовать аномалии с точностью до моделируемого компонента системы, определяя все входные сигналы и причины, которые могли повлиять на нормальную работу объекта защиты.

При выявлении ложноположительной аномалии возможно дообучение модели.

ВАРИАНТЫ АРХИТЕКТУРЫ
Расширение функциональностью CL Thymus возможностей комплекса CL DATAPK
Применение в качестве самодостаточного решения
ОЕМ-компонент стороннего решения по ИБ автоматизированных систем
Свяжитесь с отделом продаж для получения информации о ценах
Написать
Ваш запрос отправлен!
По щелчку Принять все файлы cookie , вы соглашаетесь на хранение файлов cookie на вашем устройстве для улучшения навигации по сайту, анализа использования сайта и помощи в наших маркетинговых усилиях.