ML IDS: сетевая система обнаружения вторжений с применением машинного обучения
ML IDS базируется на результатах передовых научных исследований в области применения машинного обучения для обнаружения компьютерных атак. За счет обобщающей способности используемых моделей машинного обучения система позволяет обнаруживать ранее неизвестные атаки (атаки нулевого дня, zero day).
Особенности и преимущества
ML IDS обнаруживает на сетевом уровне широкий спектр веб-атак на основе анализа признаков сетевых сессий.
Технология предусматривает работу при использовании как открытого (HTTP), так и защищенного (HTTPS) протокола передачи данных. Инспекция протоколов HTTP/2 и HTTP/3 возможна с применением обратного прокси сервера в защищаемой сети (например, HTTP роутера nghttpx).
При встраивании в существующие сигнатурные средства защиты информации позволяет существенно повысить эффективность обнаружения атак.
ML IDS — это:
- Обнаружение атак во времени, близком к реальному.
- Возможность выявления ранее неизвестных атак.
- Выявление атак без анализа содержимого пакетов (возможность работы на зашифрованном трафике).
- Адаптация под меняющиеся условия (возможность дообучения и выбора оптимальной модели).
- Модульная архитектура, позволяющая наращивать производительность.
- Наличие процедуры автоматизированного развертывания инфраструктуры генерации и сбора обучающего набора данных.
- Удобный веб-интерфейс с результатами работы ML IDS, который может быть легко настроен на отображение необходимых данных.
ML IDS обучена и способна выявлять следующие типы веб-атак: XSS, SQL Injection, Command Injection, Brute Force, Web Shell.
Разработанная модель машинного обучения занимает лидирующее место в мировом независимом бенчмарке «Network Intrusion Detection on CICIDS2017».
Проведенное тестирование и сравнение ML IDS с сигнатурными средствами обнаружения и предупреждения атак с открытыми исходными кодами, такими как сетевая система обнаружения вторжений (NIDS) Suricata и межсетевой экран для веб-приложений (WAF) ModSecurity, показало следующее:
- ML IDS превосходит сигнатурную NIDS Suricata по качеству обнаружения атак при работе с зашифрованным трафиком https;
- ML IDS сопоставима по качеству с сигнатурным WAF ModSecurity.
Для кого предназначена ML IDS?
- Компании, которым требуется контроль и мониторинг сетевых каналов в режиме реального времени.
- Компании-разработчики средств сетевой безопасности (межсетевых экранов, систем обнаружения и предотвращения вторжений).
Поддерживаемые платформы и архитектуры
- Архитектуры: Intel x86-64.
- Платформы: ОС на базе ядра Linux.
Схема работы
Рис. 1. Архитектура ML IDS
Рис. 2. Схема встраивания анализатора ML IDS в защищаемую сеть
Рис. 3. Вариант встраивания анализатора ML IDS для инспекции протоколов HTTP/2 и HTTP/3
Рис. 4. Схема дообучения ML IDS
Рис. 5. Веб-интерфейс с результатами работы ML IDS
Разработчик/участник
Перейти к списку всех технологий