Поскольку информационные технологии занимают в повседневной жизни все большее место, угрозы в области кибербезопасности также становятся все более сложными. Традиционные решения безопасности – а именно антивирусы, брандмауэры (firewall) и системы ручного мониторинга – становятся уязвимыми перед сложностями современных угроз. Поэтому технологии, основанные на искусственном интеллекте (ИИ) и, в частности. на нейронных сетях, становятся важным инструментом в решении проблем кибербезопасности.
Что такое искусственный интеллект и нейронные сети?
ИИ – это способность компьютерных систем выполнять функции, присущие человеческому разуму (например, анализировать, принимать решения, учиться).
Нейронные сети относятся к направлению глубокого обучения (deep learning) ИИ. Они анализируют информацию по слоям, основываясь на принципе работы биологических нейронов. В частности, в кибербезопасности широко используются конволюционные (CNN), рекуррентные (RNN) нейронные сети и трансформеры.
Как ИИ и нейронные сети используются в кибербезопасности?
При автоматическом обнаружении угроз (DDoS-атака) нейронные сети анализируют сетевой трафик или активность системы, чтобы различать нормальное и ненормальное поведение. Это дает новый уровень системам IDS (Intrusion Detection System) и IPS (Intrusion Prevention System).
Модели RNN и трансформеры (например, BERT) достигают высокой точности при анализе электронной почты и текста сообщений и обнаружении поддельных (фишинговых) писем.
С помощью моделирования поведения пользователей (UEBA – User and entity behavior analytics) нейронные сети изучают привычки пользователей и выявляют случаи отклонения от их обычного поведения. Это особенно полезно при выявлении «инсайдерских угроз» (внутренней опасности).
Сети ботнета обычно работают по определенным алгоритмам. Ботнет – это набор устройств с подключением к интернету, каждое из которых управляет двумя или более ботами. Алгоритмы ИИ, особенно LSTM (Long short-term memory) модели, анализируют эти закономерности в сетевом трафике, чтобы выявить активность ботнета.
Типы моделей искусственного интеллекта и их преимущества в кибербезопасности.
|
Тип модели |
Преимущество |
Области применения |
|
CNN (Convolutional Neural Network) |
Визуальный и структурный анализ |
Идентификация вредоносных программ. анализ файловой структуры |
|
RNN / LSTM |
Эффективность в анализе последовательностей |
Log-файлы, сетевой трафик |
|
Autoencoder |
Обнаружение аномалий |
Мониторинг аномальной активности |
|
GAN (Generative Adversarial Network) |
Создание искусственных данных |
Тестирование, обучение модели |
|
Transformer (BERT, GPT) |
Продвинутый анализ текста |
Обнаружение фишинговых электронных писем и поддельного контента |
Например, Google Chronicle и Microsoft Defender используют системы мониторинга рисков в реальном времени на основе ИИ.
IBM Watson for Cybersecurity – это платформа нейронной сети, основанная на глубоком обучении, которая автоматически анализирует тысячи угроз.
В проекте DARPA Active Cyber Defense разрабатываются алгоритмы, которые «реагируют» на кибератаки с использованием генеративных моделей.
Но при этом существуют определенные риски, на которые следует обратить внимание при использовании ИИ и нейросетей.
Модель обучается только на основе предоставленных ей данных. Если предоставленные данные не соответствуют тенденциям, вводят в заблуждение или являются «вредоносными», модель примет неверное решение.
С помощью специально созданных «безопасных» входов в нейронные сети могут проводится обманные атаки.
Для обучения нейронных сетей и их использования в режиме реального времени требуются высокие вычислительные мощности (GPU, TPU).
Проблема объяснения (Explainability) заключается в том, что во многих случаях нейронная сеть не может объяснить, «почему» принято именно такое решение. Это снижает доверие к безопасности.
Стратегии эффективного использования ИИ и нейронных сетей.
1. Создание безопасной и качественной системы сбора данных.
2. Целесообразный подход к выбору модели (CNN – для вредоносных программ, RNN – для Log-файлов).
3. Обеспечение сотрудничества специалистов по кибербезопасности и специалистов по ИИ.
4. Использование подходов, повышающих объяснительную способность модели (LIME, SHAP).
5. Постоянное обновление обучаемых моделей.
6. Интеграция систем ИИ с традиционными средствами кибербезопасности.
Искусственный интеллект, особенно нейронные сети, основанные на глубоком обучении, играют важную роль в обнаружении сложных и изменчивых угроз кибербезопасности. Они не только обнаруживают опасные действия, но и предсказывают, понимают поведение пользователя, и помогают укреплять системы. Однако для правильного использования этих технологий необходимо учитывать такие факторы, как стратегическое планирование, этика, интерпретация и безопасность.
Подготовил: сетевой инженер 2-категории СЭМС Навоийской области – А.Нарзиев.
