組織のセキュリティを保護するための暗号化トラフィック分析における機械学習の役割

脅威の攻撃者が戦術や手法を進化させ続けるにつれて（たとえば、暗号化されたトラフィック内に攻撃を隠すなど）、組織を保護することはますます困難になります。

ML暗号化トラフィック分析

これらの問題に対処するために、多くのネットワーク セキュリティ チームと運用チームは、ネットワーク トラフィックの障害、異常、脅威を特定するために機械学習 (ML) 技術を活用するようになっています。しかし、暗号化されたトラフィックがますます標準になるにつれて、従来の ML 技術は進化する必要があります。この記事では、現在使用されている ML モデルの種類を確認し、それらを Deep Packet Dynamics (DPD) 技術と組み合わせて、暗号化されたトラフィックに潜んでいる可能性のある脅威についての洞察を得る方法を探ります。

ML を効果的に使用するには、NOC チームと SOC チームに、データ収集、データ エンジニアリング、モデル スコアリングの 3 つが必要です。

データ収集では、ネットワーク パケット ストリームからメタデータを直接抽出します。データ エンジニアリングとは、生データを適切な場所に移動し、モデル入力に変換するプロセスです。これには、データの標準化や機能の作成などのタスクが含まれます。モデル スコアリングは、ML アルゴリズムをデータに適用する最終段階です。これには、モデルのトレーニングとテストに必要な手順が含まれます。

歴史的に、ML はバッチ処理モデルに依存してきました。一般的なビッグデータの場合、従来のデータ パイプラインがうまく機能します。モデルは、過去の遡及データを使用してオフラインでトレーニングされます。その後、分析用に保存されたデータに展開されます。

仕組みは次のとおりです。まず、チームは高度に設計されたデータ パイプラインを作成し、すべてのデータを巨大なデータ レイクに移植しました。次に、クエリと前処理スクリプトを実行して履歴機能を作成します。最後に、モデルは大規模なデータセットでトレーニングされます。準備ができたら、トレーニング済みのモデルを本番環境に移行します。そのためには、各データ処理ステップを外部向けアプリケーションに変換する必要があります。

大量のデータ（つまり、従来のデータベース レコード形式で保存するのではなく、保存と処理に特殊なツールを必要とする「ビッグ」データ）を保存および処理するには、コストが高額になる可能性があります。この ML アプローチには、多くのスケーリングとリソースが必要です。これは、モデル開発や長期にわたる予測モデルに非常に役立ちます。

ただし、ネットワーク トラフィックが増加するにつれて、ストリーミング ML と呼ばれる新しい代替手段が登場します。最高帯域幅のネットワークのパフォーマンス要件を超えながら、はるかに小さいリソースフットプリントを活用します。暗号化されたトラフィック分析と組み合わせることで、組織はサイバー脅威を可視化する強力なツールを手に入れることができます。これまで、ネットワーク トラフィックの研究はディープ パケット インスペクション (DPI) を使用して行われてきましたが、暗号化されるトラフィックが増えるにつれて、その有用性は低下しています。このため、市場では、豊富なメタデータ セットを提供し、ペイロード検査なしで実行できる Deep Packet Dynamics (DPD) と呼ばれる新しいテクノロジが採用されるようになりました。

DPD 機能には、プロデューサー/コンシューマー比、ジッター、RST、再送信、シーケンス パケット長とタイミング (SPLT)、バイト分布、接続セットアップ時間、ラウンドトリップ時間などのトラフィック特性が含まれます。 ML に適した高度な機能を提供し、単純な方法や強化された方法では捕捉できないパターンや異常を効果的に識別できます。しかし、これらは遡って計算することはできず、トラフィックが通過するときにリアルタイムでキャプチャする必要があります。この形式の暗号解読では、トラフィックの復号化と検査を行う処理集約型の中間者 (MITM) 手法を排除することでプライバシーが強化されます。

ストリーミング ML と DPD を組み合わせることで、SOC チームと NOC チームは高度な脅威をリアルタイムでより簡単に検出できるようになります。たとえば、このアプローチでは、ラテラルムーブメント、高度なフィッシング攻撃やウォーターホール攻撃、内部脅威活動など、ネットワーク上で進行中のランサムウェア攻撃を発見できます。このアプローチにより、暗号化の盲点も解消され、ネットワーク防御者の可視性が回復されます。

2025 年までに、ほぼすべての Web トラフィックが暗号化されるようになります。暗号化が進み（そして新たな脅威が出現する）、組織は異常なトラフィックに対する必要な可視性を得るために、ストリーミング ML（機械学習エンジンを含む）と暗号化されたトラフィック分析にさらに大きく依存する必要があります。それがなければ、攻撃者は従来のセキュリティ メカニズムを回避し、暗号化に隠れて攻撃を成功させ続けることになります。