
مدافعان کار بسیار سختی دارند. آنها باید درک کنند - تا حد امکان ممکن - کدام رویداد در حال حاضر نیاز به تحقیق دارد. محرک های زیادی برای چنین رویدادهایی وجود دارد ، اما مهم این است که می داند چه زمانی منظره تهدید آنها تغییر کرده است. به طور خاص ، مدافعان باید بدانند که رفتار ترافیک (و بازیگر) به اندازه کافی تغییر کرده است تا ضمانت یا اقدام را تضمین کند.
تشخیص تغییر به اشکال مختلفی انجام می شود. یکی از این شکل ها تحت عنوان بلند "تشخیص ناهنجاری" ، که ممکن است به عنوان "تشخیص روند" نیز گفته شود ، ارائه می شود. اکثر راه حل های تشخیص و پاسخ مدرن نوعی قابلیت تشخیص ناهنجاری را دارند.
Greynoise اخیراً ویژگی جدید تشخیص روند را در سکوی ما معرفی کرده است که به محققان و مدافعان سازمان کمک می کند تا در اسرع وقت رفتار بالقوه جدید یا خطرناک را تغییر دهند. این امر به محققان و مدافعان زمینه لازم را می دهد تا تصمیم بگیرند که آیا اقدامات بیشتر ضروری است.
زمینه روندها و ناهنجاری ها
ویژگی جدید تشخیص ناهنجاری/روند ما بر روی برچسب ها ، سیستم برچسب زدن خودکار رویداد Greynoise عمل می کند. پردازش ما امضاهای توسعه یافته توسط تیم تحقیقاتی ما را می گیرد و برچسب ها را برای ترافیک بسته از شبکه سنسور ما اعمال می کند. این برچسب ها برای افزودن زمینه از انتساب بازیگر به رفتار ، از جمله اسکن ، خزیدن یا رویدادهای بهره برداری استفاده می شوند. هرکدام نوع خاصی از ترافیک را نشان می دهد: مخرب ، خوش خیم یا هنوز ناشناخته. هرکدام همچنین می توانند شامل یک یا چند پروتکل ، آسیب پذیری و/یا سوء استفاده باشند.
نظارت بر رفتار برچسب به مرور زمان بخش بزرگی از ارزش Greynoise است. از آنجا که می بینیم چه تعداد سنسور با رویدادهای راهنمایی و رانندگی با برچسب خاص هر ساعت برخورد می کنند ، می توانیم ارزیابی کنیم که برچسب ها محبوب تر می شوند ، کدام یک از آنها یک ناهنجاری نزدیک مدت در ترافیک (احتمالاً یک رویداد قابل توجه به خودی خود) را تجربه می کنند ، وکه ساکت هستنددر Greynoise ، ما به دنبال فرصت هایی برای فیلتر کردن سر و صدا هستیم. ترافیکی که به سمت بالا روند دارد یا "سنبله" غیر عادی را نشان می دهد ، قابل توجه است زیرا "پر سر و صدا" است.
چگونه کار می کند
تشخیص روند و ناهنجاری ها در مورد یافتن انحراف از رفتار قبلی ، به ویژه در جهت مثبت است. هر دو کار با یافتن میانگین در طی یک دوره طولانی ، حداقل ده روز شروع می شوند. برگه Trends به افزایش آهسته تر در ترافیک برای یک برچسب خاص ، مقایسه میانگین بلند مدت با میانگین کوتاه مدت ، جدیدتر و انجام فرمول کلاسیک تغییر درصدی را نشان می دهد. این ارزشی را که می توانیم از آن استفاده کنیم برای رتبه بندی که برچسب ها بیشترین افزایش در ترافیک متوسط را مشاهده می کنند ، تولید می کند.

تشخیص ناهنجاری (همانطور که بلافاصله در بالا مشاهده می شود) تا حدودی پیچیده تر است ، زیرا ما علاقه ای به هشدار در مورد هر ناهنجاری اخیر نداریم. در واقع ، غیرقابل تصور نیست که یک برچسب "آرام" که برای مدتی غیب است ، ناگهان می تواند به طور متناوب ظاهر شود (به تصویر زیر مراجعه کنید). این برچسب به خوبی می تواند یک گزارش جداگانه برای هر ناهنجاری دریافت کند ، حتی اگر هر ناهنجاری در مقایسه با همسایگان خود بلند نباشد.
ما باید یک قله اخیر را پیدا کنیم و ترجیحاً بالاترین. ما این کار را با دو الگوریتم انجام می دهیم: ابتدا از یک پنجره در حال حرکت استفاده می کنیم تا مشخص کنیم کدام نمونه (ها) بیشترین انحراف (مثبت) را از مقدار متوسط آن پنجره دارند. دوم ، ما تغییر در شیب را بررسی می کنیم ، زیرا اوج نشان دهنده تغییر در افزایش رفتار است. بین دو الگوریتم ، می توانیم قله ها را با اطمینان ، دقیق و دقیقاً پیدا کنیم. مقادیر اوج سپس به فرمول درصد تغییر می یابند ، بنابراین می توانیم ناهنجاری ها و روندها را برای هر برچسب مقایسه کنیم.

با رتبه بندی خروجی این الگوریتم ها ، ما برچسب هایی را ارائه می دهیم که بیشترین افزایش اخیر در روند و همچنین بلندترین قله اخیر را دارند ، هر دو نسبت به رفتار متوسط قبلی.
در مورد آن چه باید کرد
با بارگیری صفحه TAG TRENDS ما ، برچسب ها و ناهنجاری ها را مشاهده خواهید کرد: لیست هایی از برچسب ها که هر یک از رفتارها را قوی ترین از مجموعه گسترده ما از برچسب های شناخته شده ما نشان می دهند.
برچسب های گرایش نشان دهنده افزایش قابل توجهی در ترافیک متوسط است. یعنی میانگین اکنون نسبتاً بیشتر از گذشته است. این امر می تواند با گذشت زمان ادامه یابد ، و این نشان می دهد که احتمال آسیب پذیری های مربوط به آن معمولاً مورد سوء استفاده قرار می گیرد (یا حداقل ، معمولاً در داده های مربوط به محیط امنیت اینترنت ورودی شخص مشاهده می شود). این شانس دیدن آن را در محیط خود مشتری ما ایجاد می کند و بنابراین فوریت را برای نظارت بر جزئیات بیشتر و لکه دار شدن در صورت امکان افزایش می دهد.
ناهنجاری های موجود در یک برچسب ، پرش های ناگهانی در رفتار را نشان می دهد - و می تواند برای دیدن آنچه قبلاً اتفاق افتاده است از پیش بینی درباره رفتار آینده مفید باشد. ناهنجاری ها ، با تعریف داخلی ما ، از قبل شروع به تحقیر کرده اند ، بنابراین "اوج" واقعی گذشته است. با وجود بزرگترین ناهنجاری های ذکر شده ، می توانیم زمان وقایع/حوادث بزرگ را که ممکن است آنچه را که اتفاق افتاده است روشن کنیم و چگونه یادآوری کنیم. با این حال ، ممکن است که ناهنجاری های مکرر بتوانند یک الگوی رفتاری جدید از پشت سر هم فعالیت های متناوب را نشان دهند: سپس زمان بین آن ناهنجاری ها می تواند هماهنگی را نشان دهد ، چه تعداد گروه درگیر هستند ، یا حتی در آن مناطق زمانی که احتمالاً فعالیت می کنند.
آنچه به ویژه قدرتمند است ، توانایی بالا بردن مکالمه در مورد برچسب ها (و در نتیجه سوء استفاده از بردارهای خاص) به محض اینکه در شماره های "در طبیعت" دیده می شود ، به جای اینکه منتظر سوءاستفاده های خاص برای اخبار باشید. علاوه بر این ، هر برچسب یک رویکرد خاص را یادداشت می کند. بنابراین ، اگر یک محصول دارای سوء استفاده های احتمالی متعدد باشد ، می توان آن را پچ کرد ، برچسب (یا برچسب ها) که بیشترین ترافیک را مشاهده می کنند باید زودتر از آن استفاده شود.
همه این گفته ها ، البته ، این رفتارها ممکن است در محیط شما دیده نشود. ممکن است صفحه TAG Trends را بارگذاری کرده و متوجه شوید که هیچ یک از برچسب های "گرایش" ترافیک آنها را برای شما افزایش نمی دهد ، و ممکن است در سایر بردارها ترافیک مشاهده کنید. این کاملاً طبیعی است ، و احتمالاً نشان می دهد که فایروال شما کار خود را انجام می دهد ، یا اینکه سطح حمله شما به دلیل تهدیدها و فعالیت های موجود در وب به حداقل می رسد. شما همچنین ممکن است در حال بررسی موج ناگهانی ترافیک از یک نوع خاص باشید ، و ببینید که این لیست ناهنجاری های ما را ایجاد نکرده است. این بدان معنی است که ، به احتمال زیاد ، موج ترافیک شما از آنچه در ابتدا ظاهر می شود هدف قرار می گیرد ، و شاید برخی از احتیاط ها ممکن است ضروری باشد.
یادداشتی در مورد داده ها به مرور زمان
در چند پاراگراف آخر در مورد امکانات صحبت شده است زیرا این تحقیقات تا حد زیادی در زمینه امنیت سایبری است. در حال حاضر ، ما برچسب هایی را مشاهده کرده ایم که شاهد افت رفتار هستند که به نظر می رسد روند (به نظر می رسد روند "از پنجره زمانی اخیر خارج می شود). حرکت قطره پایه قبلی را به پایین می کشاند ، که باعث می شود از سرگیری فعالیت عادی مانند روند الگوریتم به نظر برسد. شاید این روند به سمت بالا از جایی که شروع شده است ، گرایش نداشته باشد ، اما کل نمونه هنوز رفتار قابل توجهی دارد. گاهی اوقات از سرگیری رفتار عادی ، برچسب های "روند" واقعی ضعیف تر را نشان می دهد. رفتار قابل توجه رفتار قابل توجه است.
در داده های سری زمانی که محققان ما قبلاً می شناسند و آنها را می شناسند ، الگوهای عجیب و غریب تری وجود دارد. برای ما ، این مسئله ایجاد یک سیستم آماری در مورد آن شناخت است تا بتوانیم بیشتر به صورت خودکار انجام دهیم. هیچ کس همه آنچه را که ممکن است در آنجا وجود داشته باشد نمی داند ، اما ما در حال گوش دادن هستیم ، بنابراین ما بهتر از بسیاری می دانیم. به محض اینکه Greynoise چیز جدیدی پیدا کرد ، می توانید اطمینان داشته باشید که یافته های ما راه خود را برای پالایش این ویژگی و سایر ویژگی های آینده انجام می دهد.
ویدیو های آموزشی فارکس...
ما را در سایت ویدیو های آموزشی فارکس دنبال می کنید
برچسب :
نویسنده : محبوب امانی
بازدید : 42
تاريخ : شنبه
3 تير
1402 ساعت: 0:39