Машинное обучение в кибербезопасности

2b982d592ee6e0f56e0af3803c9335ed.jpg

Достижения в области машинного обучения за последние годы позволили создать огромное количество приложений, таких как прикладной анализ данных, голосовые ассистенты или беспилотные автомобили. Успех машинного обучение обеспечен тем, что одни и те же метод, в разной обертке работают хорошо в абсолютно разных задачах. Это позволяет заменять классические методы, выигрывая по качеству и скорости работы.

Этот тренд верен и для информационной безопасности. Многие крупные компании уже инвестируют в эту область миллиарды долларов. Для примера Google использует машинное обучение для анализа угроз для мобильных приложений, работающих под Android, а также для выявления и удаления вредоносных программ с зараженных телефонов. В то время как гигант облачной инфраструктуры Amazon приобрел стартап harvest.AI и запустил программу Macie — сервис, использующий машинное обучение для обнаружения, сортировки и классификации вредоносных данных, хранящихся в облачном хранилище.

В этой статье я постараюсь собрать в кучу самые интересные, на мой взгляд, технологии и инженерные решения, которые находятся на стыке информационной безопасности и машинного обучения.

Обнаружение и предотвращение вредоносных атак

Существует целый пласт атак, которым подвержены различные компании и производства:

  • Кибератака изнутри. Недовольный сотрудник розничной компании может эксплуатировать доступ к конфиденциальным данным компании и ее клиентов.

  • DDoS-атака. Имея большую вычислительную мощность, злоумышленник может серьезно нагрузить сервис, так что доступ настоящим пользователям будет затруднен.

  • Атаки, использующие уязвимости в оборудовании. Каждое новое устройство, подключаемое к локальной сети предприятия — это потенциальная возможность для взлома

Решение многих из этих проблем предоставляет компания Darktrace. Для каждого предприятия они предлагают персональную «иммунную систему», которая анализирует потоки информации внутри компании и ищет уязвимости разного рода. Клиентами этой компании являются такие гиганты как Ebay, Samsung и Micron.

Используя методы машинного обучения без учителя, Darktrace выучивает уникальную «ДНК» компании, что позволяет им находить аномалии в паттернах поведения устройств и пользователей. Другая технология DarkTrace-antigena — искусственный интеллект, умеющий точно и своевременно противодействовать различным атакам.

Основатель компании, Дэвид Палмер, говорит, что Darktrace недавно помог одному казино в Северной Америке, когда его алгоритмы обнаружили атаку на эксфильтрацию данных, которая использовала «подключенный аквариум» в качестве входа в сеть.» Фирма также утверждает, что предотвратила атаку во время кризиса вымогателей WannaCry летом 2017 го.

Так же существует большое количество компаний, которые используют машинное обучение для детектирования кибератак. К ним относятся ImmuniWeb, Intruder и многие другие.

Устранение багов и уязвимостей на этапе написания кода

Чем больше кода в проекте, тем сложнее искать и исправлять баги. Поэтому цена нахождения и исправления ошибки растет по мере разработки проекта. Искусственный интеллект может обеспечивать мгновенную обратную связь, которая может помочь выявить ошибки на ранней стадии процесса.

Институт системных наук IBM сообщил, что стоимость исправления ошибки, обнаруженной после выпуска продукта, была в четыре-пять раз дороже, чем обнаруженная во время проектирования. А в случае если ошибка в коде приводит к уязвимости, найденной злоумышленниками и до 100 раз больше.

Разработчик игр Ubisoft создал инструмент искусственного интеллекта, который может предупреждать программистов о потенциальных ошибках во время компиляции кода. CLEVER — модель, использующая современные подходы для кластеризации текста, прошла обучение на базе данных кода Ubisoft и исправлений ошибок, которая охватывает десятилетие. По словам разработчиков система может детектировать 79% коммитов от числа тех, которые могут содержать потенциальную ошибку. Так же система умеет предлагать разработчику потенциальные фиксы, основываясь на предыдущем опыте.

Исправления ошибок могут поглотить 70% бюджета Ubisoft на разработку игры — так что ИИ может предложить увеличение безопасности и значительные финансовые выгоды для их бизнеса.

Повышение эффективности анализа человека

В крупных компаниях аналитики безопасности занимаются обнаружением вредоносных атак, анализом сети, защитой конечных точек, оценкой уязвимостей и многим другим. Для этого экспертам приходится оперировать большим количеством данных, в которых легко упустить редкие, но важные события. Тут на помощь приходит машинное обучение.

Например, в 2016 году лаборатория компьютерных наук и искусственного интеллекта Массачусетского технологического института (CSAIL MIT) разработала систему под названием AI2 — адаптивную платформу безопасности машинного обучения, которая помогает аналитикам найти эти «иголки в стоге сена». Просматривая миллионы строчек логов, система смогла отфильтровать данные и передать их человеческому аналитику, сокращая количество ложных оповещений.

Ученые использовали различные методы машинного обучения, для того чтобы бороться с присущими задаче проблемами, такими как дисбаланс классов, постоянно эволюционирующие атаки и ограниченные ресурсы для разведки. В итоге получилась модель, комбинирующая разные архитектуры машинного обучения, такие как SVD и RNN, для того чтобы передавать данные аналитикам в отранжированном согласно важности виде.

dad279100ccbc982b6ca44dd391eac96.png

Для начала система получает все логи и используя алгоритмы обучения без учителя пытается найти и отранжировать аномалии. Дальше по мере получения фидбека от аналитика система доучивается и делает все более и более релевантные предсказания. Эксперимент, проведенный CSAIL, показал, что частота обнаружения атак выросла до 85 процентов при пятикратном снижении ложных срабатываний.

Заключение

Это лишь малый список того какие улучшения машинное обучение может предложить для кибербезопасности. Оно может помогать в разных приложениях, а именно детектирование атак, нахождение уязвимостей в коде и помощь в анализе большого количества данных. Уверен, что потенциал машинного обучения в области компьютерной безопасности еще не полностью раскрыт и нас ждет еще больше новых интересных приложений.

© Habrahabr.ru