Vizualizace je síla - 3

Lidé, kteří se zabývají informační bezpečností, jsou často přetíženi informacemi. Přicházejí síťové informace jako zprávy o skenech, virech, červech a spamech. Přicházejí zprávy od hostitelských a autentizačních systémů – uživatelé, kteří si nezměnili heslo a měli, uživatelé, kteří nebyli vpuštěni do systému, a uživatelé, kteří jsou prostě jen podezřelí. V současné době si musíme pozorně všímat i zálohovacích systémů – zálohují skutečně data a jsou tato zálohovaná data zašifrována?

Vizualizace je síla


Co se skrývá v laboratořích

Například tým vedený profesorem Kwan Liu Ma na Kalifornské univerzitě v Davisu vyvinul program nazvaný PortVis, který analytikovi do značné míry usnadňuje odhalení různých druhů skenování sítě. Tento program může zobrazit časové osy aktivit hostitele nebo portu, mřížkovou vizualizaci, ve které se veškerá aktivita sítě za určitou dobu zobrazí na jediné mřížce, objemovou vizualizaci, která tuto mřížku rozšíří na trojrozměrný objem, a vizualizaci portu, která ukazuje aktivity na konkrétních TCP/IP portech v určitém čase. Když se na různé druhy skenování sítě podíváte pomocí tohoto nástroje, mají velice odlišné vzorce. Lze doufat, že analytik tyto vzorce bude schopen rozeznat i tehdy, když budou superponovány na běžné aktivity středně vytížené sítě.

Další práce týmu profesora Ma byla zaměřena na využití pokročilých metod zpracování signálu s cílem zvýraznění zřetelnosti těchto útočných vzorců. Podobné skeny mají také podobné histogramy, zatímco u odlišných se výrazně liší. Jiné vizualizace v tomto referátu ukazují, jak hostitelé v síti mohou být sdruženi do skvrn, cestiček a hadovitých vzorců v závislosti na tom, jakým způsobem je útočník skenoval.

Wiliam Yurcik v National Center for Supercomputing Applications vyvíjí nástroje pro vizualizaci dat NetFlow pro bezpečnostní účely. Yurcikův nástroj NVisionIP má "galaktický" záběr, kdy blok desetitisíců IP adres může být zobrazen na jediné stránce: tmavší oblasti přitom vyznačují větší aktivitu na síti. Analytik může zaostřit až na jednotlivé stroje. Jiný nástroj umožňuje analytikovi, aby zjistil, které stroje jsou zdroji a které příjemci provozu.

Skutečná hodnota vizualizace je v tom, že umožňuje hledat věci, které jsou nové a nečekané - vzorce, které jsou podivně vyšinuté. Najdete něco, co vypadá divně, a snažíte se to vysvětlit. Některá vysvětlení jsou nevinná, jindy se může jednat o zákeřný útok.

Před několika měsíci jsem pracoval s kolegou na výzkumu nové vizualizace v oblasti síťové bezpečnosti. Měli jsme systém, který kreslil na obrazovce počítače šipky, jež měly symbolizovat internetová spojení v síti v průběhu určitého času. Při pohledu na displej jsem viděl, jak několik set šipek vytváří diagonálu. "To je divné," napadlo mě. Ukázalo se, že to, na co jsem se díval, bylo skenování portu. Jinde na obrazovce jsme viděli řadu šipek ubíhající v jednom směru, aniž by jim v odpověď šly jakékoliv balíky dat. O pár sekund později se tento vzorec opakoval, pak znovu. Zkoumání odhalilo, že jsme sledovali dotazy adresované DNS serveru, který neodpovídal.

Řada vizualizačních nástrojů vyžaduje analytika znalého věci, který má čas a motivaci používat tento nástroj k vyhledávání anomálií a událostí na síti. Bohužel, takto je tomu zřídkakdy. Což vede nakonec k tomu, že mnoho výzkumných pracovníků vyvinulo užitečné vizualizace, které skončily v regálech, protože analytikové prostě nemají čas je spustit.

V důsledku toho se jiná oblast výzkumu pokouší použít tyto vizualizace jako vstupy pro algoritmy strojového učení. Tyto algoritmy se pak naučí, co je normální a co ne, a jsou naprogramovány, aby na abnormálnosti upozorňovaly lidské operátory.

Spojením vizualizace se strojovým učením se dosahuje výsledků, z nichž mnohé jsou totožné s těmi, jakých by mohl dosáhnout dobrý algoritmus pro data mining. Vlastně by se to dalo považovat za určitý speciální druh data miningu. Klíčový rozdíl je, že data mining na vizualizaci závisí, takže je možné, aby člověk skočil doprostřed systému a podíval se na stejný obrázek. Stačí přidat pár ovládacích prvků, a z vizualizace se stane interaktivní aplikace, kterou lze použít k přiblížení, k získání doplňujících informací a k rychlému rozhodnutí o případném incidentu.

Pochopit, jak je vizualizace pro provoz na síti užitečná, je snadné, tato technologie se ale také dá využít pro forenzní problematiku v oblasti počítačů, pro správu záplat, a dokonce prosazování ochrany dat. Tuto technologii však na trhu nenalezneme, dokud firmy nezačnou požadovat vizualizace, které by dodávaly informace, jež budou užitečné a zároveň budou mít nějaký význam. Efektní barvičky, které lahodí oku, patří do počítačových her, nikoliv do zasedačky.








Komentáře