Clear Sky Science
הסברים מבוססי ראיות, עם מעט ז'רגון

Clear Sky Science · he

שיטת סינון רב-שכבתית לאיתותי אבטחת רשת המבוססת על אלגוריתם DBSCAN והסקת כללים ברשת

· חזרה לאינדקס

למה התראות חכמות חשובות

כל ארגון מודרני תלוי כיום ברשתות שפועלות ללא הפסקה — מבתי חולים ובנקים ועד ספקי ענן ותשתיות עירוניות. רשתות אלה מפוקחות על ידי כלי אבטחה שמייצרים אלפי התראות ביום — הרבה יותר ממה שמומחי אנליזה יכולים לבחון באופן ריאלי. טמונים בצפת המידע ההמונית כמה התראות שמסמנות פריצות אמיתיות או חולשות משמעותיות. מאמר זה מציג שיטה חדשה להפרדת האותות הקריטיים מהרעש, שמצמצמת התראות שווא תוך זיהוי יותר התקפות אמיתיות ובשימוש משאבי חישוב מועטים מאוד.

מלוגים מבולגנים לנתונים נקיים ושמישים

התראות רשת מגיעות ממכשירים וספקים רבים, כל אחד עם פורמט ורמת פירוט משלו. המחברים מטפלים תחילה בבלאגן הזה באמצעות שלב ניקוי ותקנון קפדני. כל ההתראות הנכנסות מתורגמות למבנה משותף ומנוקות מכפילויות, שדות חסרים ושגיאות ברורות. לדוגמה, אזהרות חוזרות ממספר מכשירים על אותה התקפה בתוך מספר שניות מאוחדות לרשומה אחת ועשירה יותר. התוצאה היא מסד התראות ממוקד ששומר על מה שחשוב באמת — מה קרה, מתי זה קרה ואילו מערכות היו מעורבות — ובו בזמן מסיר עומס שישרוף זמן בניתוחים מאוחרים יותר.

Figure 1
Figure 1.

לאפשר לדפוסים בזמן לחשוף בעיות אמיתיות

אפילו נתונים מנוקים יכולים להיות מכבידים, ולכן השכבה הבאה מחפשת התאמות טבעיות בזמן. השיטה נשענת על טכניקה הנקראת אשכולות מבוססי צפיפות (density-based clustering), שמחפשת באופן מהותי תקופות שבהן התראות קשורות מופיעות קרוב זו לזו, תוך התייחסות להתראות מבודדות או אקראיות כרעש. זה מונע הצורך לנחש מראש כמה סוגי אירועים קיימים. המערכת גם משתמשת בחלונות זמן חופפים, כך שהתקפות מהירות לא ייפרדו בטעות לחבילות שונות. בכיול מדויק, שלב זה שומר על התפרצויות פעילות מידעיות ומסנן עד שליש מהרעש המבלבל בזרמי הגולמיים.

ללמד כללים להתמודד עם חלקים חסרים

רשתות בעולם האמיתי אינן מושלמות: חבילות נאבדות, מכשירים מתקלקלים וחלק מההתראות כלל לא מגיעות. מנועי כללים מסורתיים מצפים למידע מלא ומפסיקים לפעול כאשר פריט יחיד חסר. כאן המחברים משנים את מערכת הכללים הקלאסית Rete כך שלכל תנאי בכלל יש משקל, המשקף עד כמה הוא חשוב. במקום לדרוש שכל פרט יתאם בצורה מושלמת, המנוע בודק האם מספיק מהחלקים החשובים מסתנכרנים לאורך זמן. גישה "מעורפלת" זו מאפשרת למערכת לזהות דפוס התקפה גם אם, נניח, סריקה מוקדמת או אזהרת חיישן מינורית לא נרשמו כלל. באותו זמן, ענפים של כללים שאינם בשימוש תכוף או לא פעילים במשך זמן ממושך נעקרים כדי לשמור על צריכת זיכרון נמוכה.

Figure 2
Figure 2.

רשת נוירונים שמשנה את צורתה

לאחר שדפוסים וכללים הפכו את ההתראות לתכונות משמעותיות יותר, שלב סופי משתמש ברשת נוירונית כדי להכריע אילו אירועים הם איומי אמת ואילו הם שפירים. בניגוד למודלים רבים של למידת מכונה שנקבעים לאחר העיצוב, רשת זו יכולה לגדול או להתכווץ בשכבות הנסתרות שלה במהלך האימון. היא מתחילה קטנה, מוסיפה יחידות כאשר הדבר משפר באופן ברור את הביצועים ומקצרת חלקים שאינם תורמים. עיצוב אדפטיבי זה מסייע למודל להתאים למערכי נתונים פשוטים ומורכבים כאחד ללא ניחושים, מקטין את סיכון ההכנסה-יתר ומקצר את זמן האימון תוך שמירה על דיוק גבוה.

מה המבחנים מראים בפועל

הצוות מעריך את המסגרת שלהם על מערכי נתוני חדירות ציבוריים ידועים ועל אוסף גדול מהעולם האמיתי של התראות מחברות. בהשוואה לארבע שיטות מתקדמות אחרונות — כולל אשכולות טהורים, מערכות התראות ייעודיות ל-IoT ורשתות נוירוניות מכויילות — צינור העבודה הרב-שכבתי החדש בולט. הוא מגיע לקצב זיהוי חיובי אמיתי של כ-96.6%, כלומר מסמן נכונה כמעט את כל שורשי ההתקפות האמיתיות, תוך שמירה על כ-18.7% של התראות רועשות או לא רלוונטיות. באופן בולט לא פחות, הוא עושה זאת עם פחות מ-1% שימוש במעבד, הרבה מתחת לגישות מתחרות. מבחנים סטטיסטיים מאשרים ששיפורים אלה אינם מקריים אלא תוצאה של הדרך שבה השיטה משלבת אשכולות, היסק כללים ולמידה אדפטיבית.

מה משמעות הדבר לצוותי אבטחה יומיומיים

למנתחי אבטחה הטובעים מדי יום בהתראות, עבודה זו מצביעה על כלים שמדויקים יותר וקלים יותר על חומרה מוגבלת. על ידי ניקוי נתונים, קיבוץ חכם בזמן, סובלנות לחלקים חסרים ושימוש ברשת נוירונית המתאימה את עצמה, המסגרת מסייעת להדגיש את קבוצת ההתראות הקטנה יחסית שמצדיקה אכן תשומת לב. זה משמעותו תגובה מהירה יותר להתקפות אמיתיות, פחות שעות מבוזבזות במרדף אחרי רמזים שווא ושימוש טוב יותר בציוד קיים. ככל שהרשתות גדלות בממדים ובמורכבות, סינון רב-שכבתי כזה יכול להיות מרכיב מרכזי בשמירה על תשתיות דיגיטליות בטוחות מבלי להעמיס על האנשים שמגנים עליהן.

ציטוט: Ni, L., Zhang, S., Huang, K. et al. Multi-level screening method for network security alarms based on DBSCAN algorithm and rete rule inference. Sci Rep 16, 5632 (2026). https://doi.org/10.1038/s41598-026-36369-6

מילות מפתח: אבטחת רשת, גילוי חדירות, סינון התראות, למידת מכונה, גילוי התקפות סייבר