Нейросети – это тоже один из видов алгоритмов машинного обучения без учителя, которые в последнее время получают все большую популярность. Обычно они применяются там, где достаточно сложные датасеты (изображения лиц в биометрии, а также голос или изображения документов) или трудно выделить признаки, которые будут выбирать модель в датасете. Ключевая идея нейросети – возможность внутренним ее слоям делать собственные суждения о том, что важно в датасете и что должно быть извлечено из него в процессе обучения. Все вышеописанные примеры могут быть обнаружены нейросетями, но обычно их используют в более сложных сценариях – распознавание фальшивых документов, борьба с угрозами для биометрии, поиск утечек информации в голосовых коммуникациях, распознавание текстов по безопасности и т. п. Одним из серьезных недостатков нейросетей можно назвать отсутствие обратной связи, то есть невозможность объяснить, почему из входных данных получился именно такой результат.
1.3. Использование машинного обучения в информационной безопасности
Машинное обучение может быть применено для решения почти любых задач, включая обеспечение вашей онлайн-безопасности. Компания Panda Security интегрировала искусственный интеллект в свой домашний антивирус Panda Dome, чтобы предоставлять еще более высокий уровень защиты своих пользователей.
В прошлом антивредоносные программы могли обнаруживать только известные вирусы, и всегда существовала задержка между обнаружением вредоносной программы и разработкой вакцины против нее. Поэтому пока вакцина не была выпущена, ваш компьютер оставался незащищенным, подвергая его высокому риску заражения.
Новая система Panda Security, управляемая искусственным интеллектом, стала намного умнее. Panda Dome отслеживает каждый процесс, запущенный на вашем компьютере, включая и те, что вы не видите. Далее она отслеживает каждое его изменение, блокируя что-либо подозрительное прежде, чем компьютер будет заражен.
Panda Dome постоянно обучается, как с вашего компьютера, так и с помощью всех других компьютеров во всем мире, где установлен этот антивирус. Это позволяет антивредоносному движку обучаться для еще более быстрого обнаружения подозрительного поведения, блокируя вредоносные программы до того, как они будут официально идентифицированы, классифицированы и получат вакцину для их устранения. Полная безопасность обеспечивается практически мгновенно благодаря мощным возможностям Машинного обучения.
Использование машинного обучения для обнаружения злонамеренных действий и прекращения атак.
Алгоритмы машинного обучения помогут предприятиям быстрее обнаруживать вредоносную активность и останавливать атаки до их начала.
Использование машинного обучения для анализа мобильных устройств.
Машинное обучение уже полным ходом используется для мобильных устройств, но до сих пор большая часть этой деятельности направлена на улучшение голосовых помощников на таких ресурсах, как Google Now, Apple Siri и Amazon’s Alexa. Тем не менее, также развиваются приложения для обеспечения безопасности. Как уже упоминалось выше, Google использует компьютерное обучение для анализа угроз в отношении мобильных устройств.
В октябре MobileIron и Zimperium объявили о сотрудничестве, чтобы помочь предприятиям принять мобильные антивирусные решения, включающие машинное обучение. MobileIron заявила, что интегрирует обнаружение угрозы Zimperium на основе машинного обучения с помощью механизма обеспечения безопасности и соответствия требованиям MobileIron и продаст комбинированное решение, которое будет решать проблемы, такие как обнаружение угроз устройств, сетей и приложений, и немедленно предпринять автоматические действия для защиты данных компании.
Другие компании также хотят укрепить свои мобильные решения. Наряду с Zimperium, LookOut, Skycure (который был приобретен Symantec), и Wandera стали лидерами на рынке обнаружения и защиты мобильных устройств. Каждый использует свой собственный алгоритм машинного обучения для обнаружения потенциальных угроз. Например, Wandera недавно публично выпустила свой механизм обнаружения угроз MI: RIAM, в котором, как сообщается, было обнаружено более 400 штампов переупакованного выкупа SLocker, предназначенных для мобильных флотов компаний.
Использование машинного обучения для улучшения человеческого анализа.
В основе машинного обучения в сфере безопасности лежит убеждение, что это помогает аналитикам со всеми аспектами работы, включая обнаружение вредоносных атак, анализ сети, защиту конечных точек и оценку уязвимости.
Например, в 2016 году Лаборатория компьютерных наук и лаборатории искусственного интеллекта MIT (CSAIL) разработала систему под названием AI 2, адаптивную платформу машинного обучения, которая помогла аналитикам найти эти «иглы в стоге сена». Ежедневно анализируя миллионы логинов, система смогла фильтровать данные и передавать их аналитику, уменьшая количество предупреждений до 100 в день. Эксперимент, проведенный CSAIL и запуск PatternEx, показал, что уровень обнаружения атак повысился до 85 процентов с пятикратным уменьшением ложных срабатываний.
Использование машинного обучения для автоматизации повторяющихся задач безопасности.
Реальная польза машинного обучения заключается в том, что оно может автоматизировать повторяющиеся задачи, позволяя сотрудникам сосредоточиться на более важной работе. Ожидается, что машинное обучение в конечном итоге должно быть направлено на
«устранить необходимость того, чтобы люди выполняли повторяющиеся, малопривлекательные действия по принятию решений, например, триггерные угрозы. «Пусть машины обрабатывают повторяющуюся работу и тактическую пожаротушение, как прерывание вымогательства, чтобы люди могли высвободить время для решения стратегических проблем — например, модернизации Windows XP».
Использование машинного обучения для устранения уязвимостей с нулевым днем.
Некоторые считают, что машинное обучение может помочь в устранении уязвимостей, особенно угроз нулевого дня и других, которые нацелены на небезопасные «умные устройства» (IoT). В этой области ведется активная работа: команда из Университета штата Аризона использовала машинное обучение для мониторинга трафика в даркнете, чтобы идентифицировать данные, относящиеся к атакам с нулевым днем, согласно Forbes. Вооруженные этим типом понимания организации могут потенциально закрывать уязвимости и останавливать использование эксплойтов, прежде чем они приведут к нарушению данных.