Ответы пользователя по тегу Системы обнаружения вторжений
  • Какие существующие IDS (системы обнаружения вторжений) используют нейронные сети?

    @dmshar
    Использование ANN в IDS на сегодняшний день в большей степени носит экспериментальный характер. Есть множество научных работ где пытаются нащупать соответствующие решения. Что-до готовых систем - я не думаю, что IDS доступные для широкой публики будут включать что нейросети, что другие ML-решения ни сегодня, ни завтра, ни в будущем. Закрытые и корпоративные системы - вполне и они уже потихоньку имеются и используются. Так происходит потому, что как только вы сделаете такое решение общедоступным, ценность его упадет до нуля. Это примерно то-же самое, что на поле боя открыть схему своей обороны. Добаьвте сюда то, что называется Adversarial Machine Learning и развитие этого направления буквально в последние два-три года. Поэтому каждый строит свою оборону и бережет ее описание как самую ценную коммерческую тайну.

    Кстати, некоторые модули МL встроены даже в Splunk. Но именно как инструмент, а не как решение, т.е. бери, сам пиши свои решения и применяй, если хочешь. Кроме того, с моей точки зрения и по информации, которой обладаю, системы на основе статистических и DataMining подходов на сегодняшний день дают гораздо больший шанс получить позитивный результат и используются гораздо шире, чем системы на основе использования нейросетей.

    Есть и проблемы, связанные со сложностью самой предметной области. Найти аномалии в трафике, а тем более - в поведении пользователей оказалось намного сложнее (и - по моему мнению - интереснее), чем разработать полуигрушечные решения для рекомендательных торговых систем, систем предсказания валютных котировок или забавные, но малополезные "системы обнаружения людей без масок". Но менее пафосно и модно. Поэтому даже постов в блогах и на сайтах по тематике не так уж много. Кроме того, решение в этой сфере не удается "опереть" на один какой-то метод, как это часто имеет место в других ПО - а значит они должны быть более комплексными и сложными, а специалисты работающие тут - иметь гораздо более широкий научный кругозор, специализироваться на целом спектре методов Machibe Learning, а в добавок - еще и неплохо разбираться в инфобезопасности как таковой. Т.е. с налета тут ничего не сделать от слова "совсем", эффектных картинок не получится. А значит шума вокруг - намного меньше.

    Есть и другие проблемы. Некоторые из них неплохо проанализированы в одной из последних работ (2019 год) что мне попадались на эту тему, которую можно найти по названию "Machine Learning in Cyber-Security - Problems, Challenges and Data Sets", первый автор - Idan Amit. Тут и принципиальное отсутствие обучающих датасетов и много чего еще. Если интересно - нагуглите.

    Впрочем, нельзя сказать, что книг и другой научной информации по тематике совсем нет. Мой личный список только книг на эту тему (не про нейросети, и именно про Machine Learning in CyberSecurity в разных аспектах) - содержит около 25 титулов, правда на русском только одна, достаточно не новая и по качеству оставляющая желать много лучшего (рекламировать не буду). А количество статей - переваливает за две сотни, и это только те, что мне показались полезными.

    Ну вот как-то так. Не уверен, что удовлетворил ваше любопытство, но надеюсь, что пищу для самостоятельного размышления - дал.
    Ответ написан
    3 комментария