Sztuczna inteligencja

Fudo Enterprise buduje indywidualne profile behawioralne użytkowników, na podstawie których jest w stanie wykryć najdrobniejszą zmianę w ich zachowaniu i tym samym zapobiec naruszeniu bezpieczeństwa monitorowanych systemów. Fudo Enterprise oznacza sesje jako podejrzane i wysyła wiadomości oraz/lub notyfikacje SNMP TRAP, aby administrator był świadomy zaistniałej sytuacji. Fudo Enterprise też automatycznie może wstrzymać podejrzaną sesję, bądź całkowicie ją przerwać i zablokować użytkownika.


Moduł AI Fudo Enterprise jest wieloskładnikowym systemem, wymagającym konfiguracji przed początkiem pracy, aby działać najbardziej wydajnie i dostarczać najlepsze statystyki. Aby skonfigurować swój moduł AI wykonaj 3 kroki:

  1. Skonfiguruj trenera modeli, zgodnie z opisem poniżej.
  2. Włącz modele behawioralne, aby uruchomić analizę behawioralną w oparciu o wybrane protokoły (SSH oraz/lub RDP) oraz zebranie indywidualnych statystyk per model.
  3. Ustaw Polityki dla przyszłych sesji, aby moduł AI mógł wykrywać niepożądane zachowania użytkowników podczas sesji i reagować automatycznie, m.in wysyłać wiadomości mailowe, notyfikacje SNMP TRAP, wstrzymywać lub przerywać sesję, blokować użytkownika.

Po wykonaniu wspomnianych trzech czynności, obserwuj działanie modułu AI poprzez monitorowanie:

  • skrzynki odbiorczej, jeśli zostały wybrane opcje wysyłania powiadomień w polityce;
  • aktualnej liczby podejrzanych sesji na widgecie Podejrzane sesje na Dashboard’zie. Widget wyświetla liczbę sesji, które są zakwalifikowane jako sesje z Wysokim Poziomem Zagrożenia oraz zawiera też link, prowadzący do odfiltrowanej listy wszystkich takich sesji z określonego przedziału czasowego;
  • poziomu zagrożenia oraz Prawdopodobieństwa zagrożenia trwającej sesji na wykresie, przekierowującym do podejrzanego segmentu sesji w playerze.

Konfiguracja trenera modeli

Trenowanie modeli wymaga zaangażowania zasobów obliczeniowych. Odpowiednia konfiguracja systemu pozwoli na efektywne przetwarzanie archiwum sesji, przy zachowaniu responsywności systemu w obsłudze bieżących połączeń.


Aby zmienić konfigurację trenera modeli, postępuj zgodnie z poniższą instrukcją.

  1. Wybierz z lewego menu Ustawienia > Sztuczna Inteligencja.
  1. W sekcji Trener modeli, w polu Maksymalna liczba procesów określ liczbę procesów odpowiedzialnych za przetwarzanie sesji w celu zbudowania modeli.

Informacja

Wartość domyślna jest wartością optymalną, określoną na podstawie dostępnych zasobów sprzętowych. Faktyczna liczba procesów trenujących modele jest nie większa niż liczba dostępnych rdzeni procesorów.

  1. Z listy rozwijalnej Aktywny węzeł klastra, wybierz węzeł odpowiedzialny za trenowanie modeli.
  2. Wybierz dni tygodnia, w które będzie odbywało się trenowanie modeli.
  3. Zdefiniuj czas rozpoczęcia procesu trenowania.
  4. Określ przedział czasowy analizowania sesji archiwalnych.
../../_images/5-1-ai-ogolne.png
  1. W sekcji Parametry modelu ilościowego, w polu Tolerancja, określ dopuszczalne wahania liczby sesji/czasu trwania sesji.

Informacja

Parametr tolerancji wykorzystywany jest przy wyliczaniu ryzyka. Wartość tolerancji jest odejmowana od bieżącej liczby połączeń, a wyrażona w minutach, od czasu trwania pojedynczego połączenia.

  1. W polu Próg raportowania zdefiniuj dopuszczalne odchylenie od spodziewanych wartości.

Informacja

Wyrażony w procentach, próg raportowania określa wartość progową przy której wyzwalany jest alarm bezpieczeństwa związany z nadzwyczaj dużą liczbą sesji lub dłuższym niż typowy czasem trwania pojedynczego połączenia.

Np. próg raportowania wyznaczony na 1% spowoduje wyzwolenie alarmu w sytuacji, w której liczba połączeń odbiegająca od wartości spodziewanej została zaobserwowania w 1% przypadków.

  1. W sekcji Analiza sesji, w polu Liczba procesów analizujących określ liczbę procesów odpowiedzialnych za bieżącą analizę połączeń. Dodatkowo, z listy rozwijanej Rejestrowanie wyników wybierz poziom zagrożenia, który chcesz rejestrować w dzienniku zdarzeń.
../../_images/5-1-ai-ustawienia.png

Informacja

W sytuacji, w której pula dostępnych procesów analizujących zostaje wyczerpana, bieżąca analiza danych zostaje wstrzymana. Po zakończeniu sesji, dane zostają przekazane do analizy.

  1. Kliknij Zapisz.

Modele behawioralne

Parametryzacja modeli pozwala na odpowiednie dopasowanie charakterystyk do specyfiki środowiska, w którym funkcjonuje Fudo.

Informacja

Od wersji Fudo Enterprise 5.3 modele AI zostały zmodyfikowane.

Ostrzeżenie

  • Skrypt aktualizacyjny do wersji Fudo Enterprise 5.3 lub nowszej wyłącza wszystkie modele AI i dodaje nowe. Po zakończeniu procesu aktualizacyjnego, wszystkie modele należy włączyć w zakładce Ustawienia > Sztuczna Inteligencja manualnie.
  • W przypadku klastrowej konfiguracji systemu, jest wymagana w pierwszej kolejności aktualizacja aktywnych modeli na węźle o roli master.

Ponieważ modele AI są oparte o protokoły (RDP oraz/lub SSH), aktywność użytkownika podczas sesji jest analizowana na podstawie funkcjonalności, które konkretny protokół umożliwia:


Model Mouse Biometric (RDP) - model predykcji, działający w oparciu o ruchy myszką oraz klikanie. Model funkcjonuje na podstawie 700 różnych właściwości, które są powiązane ze sposobem użytkownika na kierowanie urządzeniem wskazującym. Wspomniane właściwości są wykorzystywane podczas trenowania modeli, są indywidualnie kalibrowane, aby uzyskać najlepszą możliwą wartość predykcji oraz zminimalizować wartość FPR.


Model Keyboard Biometric (RDP) - model predykcji, działający w oparciu o dynamikę wprowadzania znaków z klawiatury. Model dostarcza wyniki, zebrane na podstawie 100 unikatowych właściwości, możliwych do wykonania przez użytkownika podczas pracy na klawiaturze. Wspomniane właściwości są wykorzystywane podczas trenowania modeli, są indywidualnie kalibrowane, aby uzyskać najlepszą możliwą wartość predykcji oraz zminimalizować wartość FPR.


Model Semantic Behavioral (SSH) - model, funkcjonujący na podstawie wprowadzanych z klawiatury komend. Model działa poprzez wykrycie indywidualnych preferencji osób do uzyskania tego samego wyniku na różne sposoby. Na przykład, jedna osoba preferuje skorzystać z wget, niż curl albo vim raczej, niż emacs. Jeden użytkownik preferuje komendę reset, aby wyczyścić okno terminala, a drugi korzysta ze skrótu klawiaturowego CTRL+L. Te wartości nie są statyczne, tylko zdobyte na podstawie trenowania na podstawie danych. Dodatkowo, jest dobierany zestaw z ponad 600 różnych właściwości, którymi użytkownicy są cechowane. Model używa mieszanki preferencji oraz wspomnianych właściwości, indywidualnie kalibruje je, aby uzyskać najlepszą możliwą wartość predykcji oraz zminimalizować wartość FPR.

../../_images/5-3-pl-ai-models.png

Fudo dostarcza statystyki dla każdego modelu z ostatnio przeprowadzonego trenowania, a mianowicie:

Czas ostatniego budowania - czas trwania ostatnio przeprowadzonego trenowania.

Ilość wykorzystanych segmentów - ilu odcinków sesji wykorzystano do ostatnio przeprowadzonego trenowania.

Ilość uwzględnionych jednostek - ilu użytkowników wykorzystano do ostatnio przeprowadzonego trenowania.

Czułość (ang. True Positive Rate) - to procent wszystkich złośliwych (malicious) sesji rozpoznanych przez model jako podejrzane (im wyższa wartość, tym lepsza).

FPR (ang. False Positive Rate) - to procent wszystkich prawidłowych sesji niepoprawnie rozpoznanych przez model jako podejrzane (im niższy wartość, tym lepszy).

AUROC (ang. Area Under ROC curve) - jest to jednolita metryka podsumowująca jakość modelu (im wyższa wartość, tym lepsza).

Statystyki dla wartości Czułości, FPR oraz AUROC są wizualizowane na kolorowanej skali dla każdego modelu.

Informacja

Statystyki modelu są wyświetlane zaraz po zakończeniu pierwszego trenowania i będą uaktualniane po każdym kolejnym.

Tematy pokrewne: