Neuronová síť chrání Kvalitní-Internet

21.05.2018
Štítky: 
Kvalitní internet

Celosvětový provoz internetu je složitý, jde o otevřenou strukturu, kde každý může komunikovat s každým. Toho využívají různé organizace, které nemají dobré úmysly. Jejich cílem je proniknutí do počítače kohokoliv z vás, a pomocí umělé inteligence najít hodnotná data. Zločinci se snaží ovládnout i domácí síť, aby s její pomocí šířili skrytě svůj kód do světa. Je tolik možných hrozeb, ale každý malware potřebuje komunikovat z napadené sítě ven. A zde je jeho slabina.

Jak funguje domácí internet?

K pochopení klíče k bezpečnosti na internetu je potřeba zjednodušeně popsat, jak komunikace domácnosti funguje. Data, která si z prostoru stahujete, včetně těch rizikovým, operátor legálně příliš analyzovat nemůže. Pokud nejde o očividný útok, bez vyžádání klienta blokovat příchozí komunikaci operátor nesmí. Záleží na zákazníkovi, jestli si nastaví účinný firewall, zda má nainstalovaný aktualizovaný operační systém a antivirový program.

Odchozí komunikaci každý domácí router směruje na DNS server svého operátora. Takové zařízení překládá doménová jména na IP adresy cílových serverů a umožňují tak směrovat komunikaci k cílové adrese. Přes DNS server odchází každá komunikace, dokonce i komunikace skrytého škodlivého kodu v domácím počítači, nebo zabezpečovací kameře.

Chytrá neuronová síť

Brněnská firma Whalebone ve spolupráci s ČVUT sbírá data o všech aktuálních hrozbách, a pomocí umělé inteligence vytváří velmi přesný seznam cílových adres, které používají různé viry pro komunikaci z napadeného zařízení. Whalebone vytvořil neuronovou síť, kde kombinuje znalost ji popsaných hrozeb s miliony údajů, které tato neuronová síť vyčítá z hlídaného provozu.

Vyhodnocené údaje předává přímo do DNS resolveru, který tak s neuvěřitelnou přesností blokuje komunikaci a šíření virů po internetu. Z přiloženého grafu je vidět počet dotazů z jednoho segmentu sítě.

V období od 11.9. do 23.9. bylo detekováno 30 000 dotazů na malware, dotazy na hrozby vyhodnocené jako ovládnutí počítače botnet sítí bylo 68 000, a zákazníci operátora se celkem 1000 x málem stali obětí phising útoku.

Umělá inteligence jako bodyguard

Na serveru kvalitni-internet.cz jsme se již věnovali firewallu a možnostem zabránění infekcí, a budeme se jím zabývat i nadále. Zejména v době rozšiřujícího se počtu zařízení a služeb, které všichni používáme, je metoda zabránění šíření komunikace nejúčinnější. Chrání nás umělá inteligence, neuronová síť, která analyzuje všechny hrozby v provozu a chrání nás na pozadí, bez snížení komfortu při vyžívání služeb internetu příští generace.

Slovník pojmů

Denial of Service (DoS)

Typ útoku na internetovou službu, jejíž cílem je vyřadit danou službu z provozu. Tohoto cíle často dosahuje posíláním velkého množství dotazů na danou službu, nebo využití chyby na straně služby. Často je používána distribuovaná verze tohoto útoku (DDoS), která k útoku využívá velké množství různých rozptýlených strojů. V provozu je častým indikátorem velké množství (sto až tisíci násobek) dotazů za krátkou dobu (pár hodin, maximálně pár dnů).

DDoS Slow drip

Tento typ útoku využívá velké množství strojů k zaslaní relativně malého množství podvržených dotazů na cílové servery. Útočník si zakoupí doménu xyz.com a záznamy o jejích name serverech nasměruje na oběť (kvalitni-internet.cz). Dotaz je prováděn na výchozí DNS resolvery infikovaného stroje. Resolvery následně kontaktují name servery spravující cílovou doménu (xyz.com). Infikovaný stroj vygeneruje útok na velké množství náhodných a neexistujících domén druhého řádu (sdvpanva641vd.xyz.com). První, kdo tento dotaz dostane, je cache DNS resolveru, která tyto záznamy nemá u sebe zaznamenané. Proto je nutné, aby se resolvery ptaly dále autoritativních name serverů dané domény (xyz.com), čímž zahlcují nameservery kvalitni-internet.cz, které nejsou schopny odpovědět. Výsledná odpověď je tedy SERVFAIL (resolver není schopen vyhovět klientovi).

Domain Generation Algortihms (DGA)

Botnety založené na Domain Generation Algorithm (DGA) vyhledávájí svůj řídící C&C (Control and command) server tak, že generují množinu domén, která se může v čase lišit (typicky se generuje denně). Majitel botnetu si dopředu jednu z takových domén registruje, a tak zajistí, že infikované stroje budou schopny kontaktovat C&C server a převzít si nové instrukce.

Neuronová síť Whalebone detekuje náhodně vypadající domény, např. ywhwroqfqd.com, ysxmushmjr.info

Botnet

Skupina infikovaných a ovládnutých stojů, které jsou řízeny z kontrolního centra (c&c), sloužící k DDoS útokům, rozesílání spamu, útoky na bankovní účty atd.

Bezpečný a spolehlivý internet ve Středočeském kraji poskytují UVTEurosignalUjezd.net