5 причин, почему машинное обучение не заменит другие методы Cybersecurity и реальные примеры эффективного использования ML для защиты данных
МЕНЮ
Искусственный интеллект
Поиск
Регистрация на сайте
Помощь проекту
ТЕМЫ
Новости ИИ
Голосовой помощник
Городские сумасшедшие
ИИ в медицине
ИИ проекты
Искусственные нейросети
Слежка за людьми
Угроза ИИ
Компьютерные науки
Машинное обуч. (Ошибки)
Машинное обучение
Машинный перевод
Нейронные сети начинающим
Реализация ИИ
Реализация нейросетей
Создание беспилотных авто
Трезво про ИИ
Философия ИИ
Генетические алгоритмы
Капсульные нейросети
Основы нейронных сетей
Распознавание лиц
Распознавание образов
Распознавание речи
Техническое зрение
Чат-боты
Авторизация
2020-01-09 21:35
Рассказав о том, как машинное обучение работает в разных задачах cybersecurity, сегодня мы собрали для вас 5 примеров реального использования Machine Learning в информационной безопасности. Также в этой статье мы рассмотрим, способны ли эти методы искусственного интеллекта заменить существующие инструменты защиты данных и почему.
Где и как машинное обучение используется в Cybersecurity: 5 практических кейсов
Считается, что сегодня именно банки, в первую очередь, являются наиболее крупными пользователями и драйверами развития технологий больших данных (Big Data) и машинного обучения в области кибербезопасности [1]. Например, здесь мы писали, как Machine Learning помогает ИТ-специалистам Хоум Кредит Банка вести мониторинг эксплуатации банковских систем и своевременно определять аномальную активность отдельных компонентов или пользователей. Методы Machine Learning (ML) также активно применяются другими высокотехнологичными компаниями при разработке специального ПО.
В частности, интересна история создания безопасной СУБД Sqrrl, графической NoSQL-базы на базе Apache Accumulo [2]. Эта платформа для поиска киберугроз использует машинное обучение, чтобы наглядно отобразить уязвимые точки компьютерных сетей. В январе 2018 года корпорация Amazon приобрела Sqrrl для своего облачного бизнеса Amazon Web Services [3].
Компания Demisto, продвигающая подход SOAR (Security Orchestration, Automation and Response) к кибербезопасности, применяет ML-алгоритмы в визуальной панели мониторинга своей платформы, чтобы приоретизировать сообщения о возможных угрозах [3].
Также стоит отметить опыт отечественной ИТ-компании «Лаборатория Касперского», которая активно встраивает модели машинного обучения в свои антивирусные продукты. Чтобы снизить количество ложных срабатываний, улучшить интерпретируемость результатов и повысить устойчивость ПО к действиям потенциального злоумышленника, Лаборатория Касперского использует решающие деревья, локально-устойчивые свёртки, поведенческие модели и ML-алгоритмы кластеризации [4].
Подобным образом, корпорация Microsoft создала собственную cybersecurity систему Windows Advanced Threat Protection для превентивной защиты, обнаружения нарушений, автоматического расследования и реагирования на угрозы. Этот продукт интегрирован во все устройства на базе Windows 10 и активно используется вместе с облачными сервисами компании [3]. Также встроенная в Windows Defender ML-система проводит поведенческий анализ множества данных каждый день, чтобы предупредить возможную атаку. К примеру, при установке вредоносной криптомайнера в браузер на уровне отдельного пользователя Windows, система распознает и блокирует эту угрозу всего за несколько миллисекунд. Аналогичная угроза на уровне предприятия будет отражена за пару секунд благодаря эффективному использованию методов Machine Learning [5].
Методы машинного обучения активно используются для защиты данных и превентивного поиска киберугроз
Запустит ли Machine Learning революцию в информационной безопасности и почему
Несмотря на оптимистичные прогнозы о том, что уже скоро Machine Learning заменит всех живых специалистов по информационной безопасности своими автоматическими алгоритмами [1], в реальности говорить об этом еще рано. Полному отказу от прежних методов cybersecurity в пользу машинного обучения препятствуют следующие причины [6]:
- нейросетевые модели ведут себя как «черный ящик», «вещь в себе», которая не объясняет, почему из таких входных данных получился именно этот результат. Такое отсутствие непосредственной обратной связи в когнитивном плане не позволяет полностью отказаться от человеческого контроля в таких важных сферах, как информационная безопасность, по аналогии с наличием ручного управления самолетом даже при наличии очень умного автопилота.
- отсутствие достаточного для корректного обучения ML-моделей количества датасетов по всем направлениям киберугроз, от компьютерных вирусов до приемов социальной инженерии;
- возможность специфических атак на ML-алгоритмы и используемые датасеты, что может привести к неверным решениям, пропущенным атакам или ложным срабатываниям;
- злоумышленники тоже используют алгоритмы Machine Learning для создания вредоносных программ, анализа пользовательского поведения, разработки ботов-сборщиков персональных данных, поиска уязвимостей, подбора паролей, подмены личности, обхода систем защиты и пр.
Также стоит отметить некоторый конфликт между требованиями генерального регламента о защите персональных данных граждан и резидентов Евросоюза (GDPR, General Data Protection Regulation) и использовании этой информации в ML-моделях кибербезопасности. В частности, GDPR предполагает наличие у пользователя возможности «быть забытым», если он не дает согласия на сбор своих персональных данных или решил его отозвать. Это требование может нарушаться, если какая-то ML-модель автоматически анализирует поведение пользователя (cookies, данные об устройстве, браузере и т.д.) для предупреждения угроз, явно не сообщая об этом клиенту [7]. Подробнее о том, что такое GDPR и как он связан с персональными данными, мы рассказывали здесь.
Таким образом, пока машинное обучение не может заменить ранее существовавшие методы cybersecurity, но уже значительно дополняет и расширяет их. В частности, ML-модели повышают точность сигнатурного анализа, который быстро обрабатывает запросы и не требует длительного периода обучения. Таким образом, можно использовать сигнатурный анализ для выявления запросов с явными признаками атаки, а машинное обучение – для анализа остальных запросов. В результате такого сочетания разных методов достигается высокая скорость работы антивирусного ПО с минимальным количеством ложных срабатываний и пропусков атак [8].
Машинное обучение не вытесняет прежние методы cybersecurity, а дополняет их
В следующей статье мы поговорим о техниках управления требованиями, системного и бизнес-анализа, которые используются в информационной безопасности для выявления и предупреждения рисков. А о том, как защитить свои большие данные на практике, вы узнаете на наших образовательных курсах в лицензированном учебном центре обучения и повышения квалификации ИТ-специалистов (менеджеров, архитекторов, инженеров, администраторов, Data Scientist’ов и аналитиков Big Data) в Москве:
Источник: www.bigdataschool.ru