Deep Content Analysis

Modul je založený na analýze obsahu a využívá kombinaci metod metody umělé inteligence, strojového učení a pokročilé analýzy k detekci podezřelých aktivit a anomálií v podnikových sítích na aplikační vrstvě (OSI vrstva 7 — HTTPSMB). Modul se autonomně naučí běžné chování definovaných aplikací a na základě míry neshody s modelem zobrazuje potenciálně škodlivé události v uživatelském rozhraní.

Hloubková analýza obsahu detekuje:

  • - útoky na webové aplikace
  • - pokusy o SQL injekce
  • - pokusy o krádeže dat
  • - crackování hesel a neoprávněné změny uživatelských oprávnění
  • - neznámé a přetrvávající pokročilé hrozby (APT)

Detekce anomálií HTTP

Detekce anomálií webových aplikací je rozšířením Analýzy síťového provozu (NTA) a chování sítě (NBA) ve směru k technologii webových aplikačních firewallů (WAF), které na základě HTTP požadavků (requests) s adresou URL jako vstup a vytvoří stromový model založený na částech adresy URL včetně jejich parametrů a to i skrytých, které nejsou přítomné v adresním řádku (POST).

Na tento model webové aplikace je použito celkem 15 statistických modelů a metod umělé inteligence zahrnující například Markovovy skryté modely (HMM), které umožňují vypočítat, jak jsou jednotlivé požadavky pravděpodobné. Modul umožňuje nastavit váhy každé z těchto metod a na jejich základě určit výsledné skóre anomálie pro každého jednotlivého uživatele webové aplikace.

Identifikace SQL Injekcí

Chyby zabezpečení webových aplikací patří mezi největší problémy kybernetické bezpečnosti. Útoky na injekce strukturovaného dotazovacího jazyka (SQLI) byly v souladu s OWASP (OWASP) hodnoceny jako číslo jedna v ohrožení zabezpečení webových aplikací. Cílem těchto útoků je získat přístup k databázi. Využití zranitelností ve webových aplikacích umožňuje útočníkům obejít přihlášení, přistupovat k citlivým datům, provádět změny v databázovém schématu, používat napadený server nebo napadat jiné počítače v síti.

Náš přístup používá techniky strojového učení pro identifikaci charakteristik injekce v řetězci HTTP dotazu. Navíc k Systému detekce narušení (IDS) založeného na pravidlech, používáme Podpůrné vektorové stroje (SVM) a Vícevrstvou perceptronovou neuronovou síť (MLP NN) za použití různých analýz řetězců, Pytlů slov (BoW) a techniky Vkládání (embedding) slov pro vektorizaci řetězce dotazů.

Více informací najdete v našem vědeckém článku uveřejněném v odborném časopisu Mendel Soft Computing Journal: Machine Learning Blunts the Needle of Advanced SQL Injections.

Identifikace anomálií SMB a Active Directory

Pro detekci anomálií a známých škodlivých aktivit, jakými jsou laterální pohyb po chráněné síti, pokusy o uhodnutí hesla, eskalace privilegií, a další typu útoků prostřednictvím protokolu SMB jsme aplikovali principy metod NBA založených na Gaussových smíšených modelech (GMM) na 7. vrstvu OSI. Spolu s detektory vyvinutými pro analýzu HTTP a aplikovanými na komplexní strukturu příkazů a cest k souborům v závislosti na specifických (pseudo-) úložištích a s dalšími pokročilými detekčními metodami, jsme schopni efektivně identifikovat pokročilé a dlouhodobé útoky využívané mimo jiné státem sponzorovanými útočníky, převážně ze zahraničí.

TA CR


Projekt Pokročilé behaviorální modely aplikační vrstvy pro efektivní analýzu provozu v podnikových sítích byl financován se státní podporou Technologické agentury ČR v rámci Programu ZÉTA.