AI Network Traffic Analysis NDR Detection Response System

We design and deploy artificial intelligence systems: from prototype to production-ready solutions. Our team combines expertise in machine learning, data engineering and MLOps to make AI work not in the lab, but in real business.
8+Years of work900+Completed projects100+In house employees19+Partners
Offered services
Showing 1 of 1 servicesAll 1566 services
AI Network Traffic Analysis NDR Detection Response System
Complex
~2-4 weeks
FAQ
AI Development Areas
AI Solution Development Stages
Latest works
  • image_website-b2b-advance_0.png
    B2B ADVANCE company website development
    1212
  • image_web-applications_feedme_466_0.webp
    Development of a web application for FEEDME
    1161
  • image_websites_belfingroup_462_0.webp
    Website development for BELFINGROUP
    852
  • image_ecommerce_furnoro_435_0.webp
    Development of an online store for the company FURNORO
    1041
  • image_logo-advance_0.png
    B2B Advance company logo design
    561
  • image_crm_enviok_479_0.webp
    Development of a web application for Enviok
    822
Show more works

AI-система анализа сетевого трафика (NDR)

NDR (Network Detection and Response) — это детекция угроз через анализ сетевого трафика, без агентов на хостах. Преимущество: атакующий может скрыть следы на endpoint, но сетевые соединения остаются. Недостаток: зашифрованный трафик непрозрачен для DPI. AI-подход работает с метаданными трафика даже без расшифровки.

Источники данных для NDR

NetFlow/IPFIX. Метаданные потоков: src/dst IP:port, протокол, объём байт, длительность. Не требует полного packet capture, масштабируется на гигабитный трафик. Основа для большинства ML-моделей NDR.

Full Packet Capture (PCAP). Для ретроспективного расследования и глубокого анализа. Дорого в хранении — обычно rolling window 24–72 часа. Zeek (Bro) превращает PCAP в структурированные логи.

DNS logs. Критичны для детекции C2-коммуникаций через DNS tunneling, DGA-доменов, fast-flux DNS.

TLS/SSL metadata. Даже без расшифровки: JA3 fingerprint (клиентский), JA3S (серверный), SNI (Server Name Indication), certificate metadata. Малварь имеет характерные TLS-fingerprint'ы.

ML-модели для NDR

DGA detection. Domain Generation Algorithms — малварь генерирует случайные домены для C2. Характеристики DGA-доменов: высокая энтропия, нехарактерное распределение символов, отсутствие в исторических DNS-кешах.

Character-level LSTM или CNN классификатор: на входе — доменное имя посимвольно, на выходе — вероятность DGA. Датасет: 1 млн легитимных доменов + 1 млн известных DGA-образцов (из Bambenek Consulting). Accuracy на тестовой выборке: 98.4%, FPR: 0.2%.

class DGADetector(nn.Module):
    def __init__(self, vocab_size=37, embed_dim=32, hidden_dim=64):
        super().__init__()
        self.embedding = nn.Embedding(vocab_size, embed_dim, padding_idx=0)
        self.lstm = nn.LSTM(embed_dim, hidden_dim, batch_first=True,
                           bidirectional=True)
        self.classifier = nn.Linear(hidden_dim * 2, 1)

    def forward(self, x):
        embedded = self.embedding(x)
        lstm_out, (hn, _) = self.lstm(embedded)
        # Использует последнее состояние обоих направлений
        final_state = torch.cat([hn[-2], hn[-1]], dim=1)
        return torch.sigmoid(self.classifier(final_state))

Beaconing detection. C2-коммуникация характеризуется регулярными соединениями с фиксированным интервалом. Malware «звонит домой» каждые X секунд. Задача: найти в потоке соединений пары src→dst с аномально регулярным интервалом.

Метод: Autocorrelation function на временном ряду соединений для каждой пары src→dst. Высокая autocorrelation при lag = X минут → подозрение на beaconing.

Lateral movement. Граф соединений между внутренними хостами. Нетипичные паттерны: хост, который никогда не инициировал соединений, внезапно сканирует подсети (SMB, RDP, WMI).

Data exfiltration. Аномальные объёмы исходящего трафика. DNS tunneling: высокая частота DNS-запросов с длинными поддоменами (данные кодируются в DNS queries). ICMP tunneling.

Encrypted traffic analysis

Большинство C2-трафика сейчас зашифровано. Анализ без расшифровки:

  • JA3 fingerprinting. TLS ClientHello содержит характеристики клиента: cipher suites, extensions, elliptic curves. JA3 — MD5 от этих параметров. Базы известных малварных JA3: Salesforce JA3 database, EmergingThreats.
  • Traffic shape analysis. Размеры пакетов, интервалы, соотношение upload/download — характеристики протокола без доступа к содержимому. Malware C2 имеет характерный «shape».
  • Certificate anomalies. Самоподписанные сертификаты, нехарактерные CN, короткое время жизни — признаки C2-инфраструктуры.

Практический кейс

Производственная компания, 450 хостов, плоская сеть без сегментации. Zeek + ML пайплайн на NetFlow.

Обнаружение через 6 часов после внедрения:

  • DGA detection: 3 хоста делали DNS-запросы к DGA-доменам (Emotet-подобное поведение)
  • Beaconing detection: 1 хост каждые 300±12 секунд соединялся с IP в Нидерландах (не в whitelist)
  • Все три хоста оказались одного отдела, заражены через email attachment неделю назад

Ретроспективный анализ показал: Zeek логи за 7 дней содержали признаки заражения с первого дня. Без NDR обнаружили бы при эксфильтрации данных или шифровании.

Сроки: 4–8 недель для базового NDR с DGA detection и beaconing, 3–5 месяцев для full NDR с lateral movement, encrypted traffic analysis и интеграцией в SIEM.