Icon Zavřít výběr země
Zprávy
Zpět na seznam
Energy Logserver

Detekce anomálií v textových datech

date23.01.2025

Při analýze možností řešení, která nabízí Energy Logserver, nás zaujal přístup, jakým dokáže napodobit práci analytika v kanceláři SOC. Typická práce analytika zahrnuje rychlé rozpoznávání rozdílů v analyzovaných událostech, což vyžaduje zkušenosti a opakovaně vykonávané činnosti. Analytik posuzuje události na základě typičnosti pro infrastrukturu a hledá ty, které se vymykají očekávání. Rychlá statistická analýza logů mu umožňuje detekovat vzácná slova a analyzovat je v kontextu celé zprávy. Tento přístup je sice efektivní, ale omezený tím, co lze vidět na obrazovce.

 

Řešení Energy Logserver tuto myšlenku posouvá dál díky modulu Empowered AI. Pomocí umělé inteligence se podařilo vytvořit pravidlo, které napodobuje myšlenkový proces analytika – ale s větší přesností a rychlostí. Pravidlo „Detekce anomálií – Text“ analyzuje každý log z pohledu jednotlivých slov, která jej tvoří. Matematické funkce v Energy Logserver vypočítávají pravděpodobnost výskytu každého slova v analyzované sadě. Algoritmus poté sestaví slovník, který určuje pravděpodobnost výskytu jednotlivých slov. Slova, která se vyskytují často, nejsou předmětem zájmu, zatímco vzácná slova dostávají vyšší prioritu. Algoritmus jim přiděluje body – čím vzácnější slovo, tím vyšší skóre získá. Navíc sleduje, jak často se vzácná slova objevují v celém logu.

 

Příklad zachyceného záznamu

Text:
205.210.31.32 – – [20/Feb/2024:14:00:37 +0100] “GET / HTTP/1.1” 301 224 “-” “Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com” 0.125

 

Vzácná slova:
[‘would’, ‘ipv4’, ‘global’, ‘please’, ‘across’, ‘networks’, ‘company’, ‘per’, ‘internet’, ‘times’, ‘0.125’, ‘the’, ‘from’, ‘a’, ‘if’, ‘addresses/domains’, ‘multiple’, ’39’, ‘scans’, ‘expanse’, ‘space’, ‘alto’, ‘excluded’, ‘palo’, ‘send’, ‘scaninfo@paloaltonetworks.com’, ‘searches’, ‘day’, ‘you’, ‘205.210.31.32’, ‘identify’, ‘our’, ‘presences’, ‘ip’, ‘customers’]

 

Z těchto detekcí vyplývají následující výpočty:

  • Počet vzácných slov: 35
  • Body za anomálie jednotlivých slov: 10 155
  • Body za anomálie celého logu: 330 001
  • Počet výskytů označeného logu jako celku: 1

 

Tentokrát se záznam ukázal jako neškodný – společnost Palo provádí průzkum trhu.

Díky přiřazování bodů za anomálie jednotlivým slovům i celým logům je možné porovnávat je a lépe identifikovat neobvyklé záznamy.
 

Graficky lze zobrazit, jak jsou body za anomálie logů distribuovány na ose.

 

 

Co nás čeká dál u Energy Logserver?

Tento systém má velký potenciál a další vylepšení jsou již na obzoru. Například: plánování pravidel Empowered AI, upozorňování na základě skóre anomálií, hodnocení anomálií v reálném čase, ukládání modelů, tvorba knihovny modelů pro různé zdroje a budování uživatelské komunity pro sdílení modelů. A to jsou jen některé z funkcí, které jsou připraveny k vydání.

 

Pro více informací nás prosím kontaktujte:

Vilém Raichel, vilem.raichel@bakotech.com +420 734 542 498

Kontakt

Bakotech Security s.r.o.

Brno:

Holandská 878/2,

Štýřice, 639 00 Brno

 

Praha:

Evropská 2588/33A

160 00 Praha 6-Dejvice

Údaje Společnosti

IČO: 17592062

IČO: 24804983

Kontakt

Brno:

+420 734 542 498

security@bakotech.cz

 

Praha:

info.cz@bakotech.com

Připojte se k newsletteru

Chcete mít přehled o nejnovějších zprávách z oblasti IT a dostávat informace o akcích, jako jsou webové semináře, školení a konference? Zanechte svůj e-mail:
Došlo k chybě. Zkontrolujte pole formuláře a zkuste to znovu.
Tato adresa je již v naší databázi.
Vaše předplatné bylo přidáno. Děkujeme!
© Bakotech - 2022. Všechna práva vyhrazena.

Web používá soubory cookie k poskytování služeb v souladu se Zásadami souborů cookie. Můžete definovat podmínky pro ukládání nebo přístup k mechanismu cookies ve vašem prohlížeči.

Přijímám