Разработка AI-системы анализа сетевого трафика NDR Network Detection and Response

Проектируем и внедряем системы искусственного интеллекта: от прототипа до production-ready решения. Наша команда объединяет экспертизу в машинном обучении, дата-инжиниринге и MLOps, чтобы AI работал не в лаборатории, а в реальном бизнесе.
8+Лет на рынке900+Реализованных проектов100+Разработчиков в штате19+Партнеров
Предлагаемые услуги
Показано 1 из 1 услугВсе 1566 услуг
Разработка AI-системы анализа сетевого трафика NDR Network Detection and Response
Сложная
~2-4 недели
Часто задаваемые вопросы
Направления AI-разработки
Этапы разработки AI-решения
Последние работы
  • image_website-b2b-advance_0.png
    Разработка сайта компании B2B ADVANCE
    1218
  • image_web-applications_feedme_466_0.webp
    Разработка веб-приложения для компании FEEDME
    1161
  • image_websites_belfingroup_462_0.webp
    Разработка веб-сайта для компании БЕЛФИНГРУПП
    853
  • image_ecommerce_furnoro_435_0.webp
    Разработка интернет магазина для компании FURNORO
    1047
  • image_logo-advance_0.png
    Разработка логотипа компании B2B Advance
    561
  • image_crm_enviok_479_0.webp
    Разработка веб-приложения для компании Enviok
    825
Показать больше работ

AI-система анализа сетевого трафика (NDR)

NDR (Network Detection and Response) — это детекция угроз через анализ сетевого трафика, без агентов на хостах. Преимущество: атакующий может скрыть следы на endpoint, но сетевые соединения остаются. Недостаток: зашифрованный трафик непрозрачен для DPI. AI-подход работает с метаданными трафика даже без расшифровки.

Источники данных для NDR

NetFlow/IPFIX. Метаданные потоков: src/dst IP:port, протокол, объём байт, длительность. Не требует полного packet capture, масштабируется на гигабитный трафик. Основа для большинства ML-моделей NDR.

Full Packet Capture (PCAP). Для ретроспективного расследования и глубокого анализа. Дорого в хранении — обычно rolling window 24–72 часа. Zeek (Bro) превращает PCAP в структурированные логи.

DNS logs. Критичны для детекции C2-коммуникаций через DNS tunneling, DGA-доменов, fast-flux DNS.

TLS/SSL metadata. Даже без расшифровки: JA3 fingerprint (клиентский), JA3S (серверный), SNI (Server Name Indication), certificate metadata. Малварь имеет характерные TLS-fingerprint'ы.

ML-модели для NDR

DGA detection. Domain Generation Algorithms — малварь генерирует случайные домены для C2. Характеристики DGA-доменов: высокая энтропия, нехарактерное распределение символов, отсутствие в исторических DNS-кешах.

Character-level LSTM или CNN классификатор: на входе — доменное имя посимвольно, на выходе — вероятность DGA. Датасет: 1 млн легитимных доменов + 1 млн известных DGA-образцов (из Bambenek Consulting). Accuracy на тестовой выборке: 98.4%, FPR: 0.2%.

class DGADetector(nn.Module):
    def __init__(self, vocab_size=37, embed_dim=32, hidden_dim=64):
        super().__init__()
        self.embedding = nn.Embedding(vocab_size, embed_dim, padding_idx=0)
        self.lstm = nn.LSTM(embed_dim, hidden_dim, batch_first=True,
                           bidirectional=True)
        self.classifier = nn.Linear(hidden_dim * 2, 1)

    def forward(self, x):
        embedded = self.embedding(x)
        lstm_out, (hn, _) = self.lstm(embedded)
        # Использует последнее состояние обоих направлений
        final_state = torch.cat([hn[-2], hn[-1]], dim=1)
        return torch.sigmoid(self.classifier(final_state))

Beaconing detection. C2-коммуникация характеризуется регулярными соединениями с фиксированным интервалом. Malware «звонит домой» каждые X секунд. Задача: найти в потоке соединений пары src→dst с аномально регулярным интервалом.

Метод: Autocorrelation function на временном ряду соединений для каждой пары src→dst. Высокая autocorrelation при lag = X минут → подозрение на beaconing.

Lateral movement. Граф соединений между внутренними хостами. Нетипичные паттерны: хост, который никогда не инициировал соединений, внезапно сканирует подсети (SMB, RDP, WMI).

Data exfiltration. Аномальные объёмы исходящего трафика. DNS tunneling: высокая частота DNS-запросов с длинными поддоменами (данные кодируются в DNS queries). ICMP tunneling.

Encrypted traffic analysis

Большинство C2-трафика сейчас зашифровано. Анализ без расшифровки:

  • JA3 fingerprinting. TLS ClientHello содержит характеристики клиента: cipher suites, extensions, elliptic curves. JA3 — MD5 от этих параметров. Базы известных малварных JA3: Salesforce JA3 database, EmergingThreats.
  • Traffic shape analysis. Размеры пакетов, интервалы, соотношение upload/download — характеристики протокола без доступа к содержимому. Malware C2 имеет характерный «shape».
  • Certificate anomalies. Самоподписанные сертификаты, нехарактерные CN, короткое время жизни — признаки C2-инфраструктуры.

Практический кейс

Производственная компания, 450 хостов, плоская сеть без сегментации. Zeek + ML пайплайн на NetFlow.

Обнаружение через 6 часов после внедрения:

  • DGA detection: 3 хоста делали DNS-запросы к DGA-доменам (Emotet-подобное поведение)
  • Beaconing detection: 1 хост каждые 300±12 секунд соединялся с IP в Нидерландах (не в whitelist)
  • Все три хоста оказались одного отдела, заражены через email attachment неделю назад

Ретроспективный анализ показал: Zeek логи за 7 дней содержали признаки заражения с первого дня. Без NDR обнаружили бы при эксфильтрации данных или шифровании.

Сроки: 4–8 недель для базового NDR с DGA detection и beaconing, 3–5 месяцев для full NDR с lateral movement, encrypted traffic analysis и интеграцией в SIEM.