机器学习的进步使安全系统在处理不断变化的条件时更容易训练和更灵活,但并不是所有用例都以相同的速度受益。
最近,机器学习和人工智能得到了很多关注,人们对这项技术有了很多合理的兴奋之情。
其中的一个副作用是,几乎所有现在被重新标记为“机器学习”,使得术语很难牵制。正如这个词“云”已经意味着相当多的东西,网上发生的,所以“人工智能”快速移动到了几乎任何涉及计算机越来越那个标签耳光的地步。
“还有很多炒作,”美国分析公司(US analytics)的创新主管阿南德•拉奥(Anand Rao)表示普华永道会计师事务所有限责任公司。“人们谈论AI成为超级智能化,将接管人性和人的决策等。”
[关于CSO:机器学习是整形安全]
一个常见的安全任务是确定新下载或安装的应用程序是否是恶意的。传统的方法是一个非常基本的专家系统 - 做应用程序的签名相匹配的已知恶意软件的?
这个标准的杀毒方法的缺点,但是,它需要不断的新的恶意软体更新,这是非常脆。一个恶意软件具有在它只是稍作修改可以容易地避开检测。
一个创业公司,深的本能目前,已知的恶意软件样本已经接近10亿份,可以用于培训目的,利用这一事实,微软正寻求将深度学习技术应用到这个问题上。
“深度学习了革命性的许多领域,”礼大卫,该公司的首席技术官。“计算机视觉已经没有时间提高20%到30%一年,以超人类的视野。语音识别。为什么不应该在网络安全工作的?”
CSO工作人员
他说,即使是基于概率的机器学习系统也是有限的。只有这么多的因素可以被专家识别,权衡,然后调整为最佳结果。与此同时,其他未计算的因素则被认为太小或不相关而不予考虑。
“你扔掉了大部分数据,”他说。
深本能的工作方式是,深度学习系统的训练,在实验室中,对恶意软件的所有已知的样本。
他说,这个过程大约需要一天的时间,需要重型图形处理单元来分析数据。
得到的训练的系统的大小大约为技嘉,他说,过大对于大多数应用程序,但随后该公司梅干它下降到约20兆字节。然后,它可以安装在任何终端设备,包括移动,并且可以分析最慢的机器上在几毫秒外来威胁。
“这是一兆字节的平均文件一毫秒之下,”大卫说。“我们做的所有复杂的东西,在我们的实验室真正完善的基础设施,以及哪些客户得到的是一个非常小的大脑,他们没有看到所有的复杂性。”
与此同时,回到实验室后,新的恶意软件样本被添加到数据收集和每三四个月左右的更新熄灭所有的端点设备在外打工的大脑。
“但即使大脑六个月没有更新,它仍然可以检测到新的文件,”大卫说。“深度学习非常擅长于不知道新的变化或突变。”
大多数的百万出现的每一天新的恶意软件样本是现有恶意软件的微小突变。
“即使是来自先进威胁分子和国家的全新零日,仍然有80%与旧的相同,”大卫说。“传统方法无法检测到它们。深度学习将很容易发现它们。”
该公司正与独立测试实验室合作,以量化的结果,他说,但年初与财富500强客户的测试表明,相比于现有的解决方案高出20%到30%的恶意软件检测率。
“我们最近做了反对100,000个文件的测试在美国一家大银行,”他说。“现有的解决方案测试的上午进行了更新,我们是2个月大。我们的解决方案得到了99.9%的检测,它们的有40%。”
查找原因
最新的深度学习系统的缺点之一是,他们可以给出答案,但不一定能够解释他们是如何做到的。
但情况并不总是这样。
事实上,Eureqa的主要工作,一个专有的人工智能引擎Nutonian就是找出事情发生的原因。
例如,当在物理数据指出,Eureqa能够重新发现牛顿定律,迈克尔·施密特,该公司的创始人和首席技术官。
“它会发现最简单,最优雅的方式来描述发生了什么,以及这种关系是什么,”他说。
公司已取得该引擎免费提供给研究人员,并在500多个期刊出版物已是有帮助的,他说。例如,在医学上,它已帮助诊断疾病找到新的模式,以援助如黄斑变性和阑尾炎。
他说,它在网络安全方面也有应用。
“其中一个最困难的问题是要找出网络攻击的解剖结构,”他说。“一个AI与Eureqa的应用是自动完成这一进程。”
一旦客户注册了基于云的系统,它可拍摄约一个小时走了过来的数据,然后回答回来得很快。
他说:“我们能够在几分钟内重现他们需要数月或数年才能得到的结果。”
本地及全球培训
在网络安全,定期更新是任何类型的机器学习系统的重要,因为景观变化得如此之快。
如果没有定期更新,所有系统都已经过时,因为人类总是会想出新的东西。员工开始做新的东西。供应商改变他们的应用程序。客户改变他们的购物模式。而且,当然,黑客发明专门用来绕过现有系统的新恶意软件。
与此同时,在下一次更新发布之前还有一个漏洞窗口。
特别是,直到他们找到的东西,作品坏人可以购买安全软件的副本,并测试他们对他们的攻击。
“然后直到下一次更新出来,他们可以使用在所有供应商的客户,”警告迈克Stute,在管理网络公司首席科学家Masergy通信。
一个解决方案,他说,是从许多安全系统供应商使用的一个尺寸适合所有的办法搬走。
“您可以使用本地模式、同行模式和全行业模式,并以不同的速度更新它们,”他说。
Masergy使用一定数量的全球因素来寻找可疑事件发生的可能性,然后将其与独特的本地指标结合起来。
全球系统只能看在投入数量有限,他说。“只有这么大的空间。我寻找那些最常发生的功能。”
他说,更多的地方关注使得更多的投入得以增加。“在局部模型中,我不必把它们压缩到更小的特征集。”
他说,这不仅可以考虑唯一性,还可以考虑更好的准确性。
结合局部和全局的方法也是由敏度的解决方案这使得BluVector能够使用机器学习来检测网络威胁。
基于对美国政府机构的高级研究计划,系统启动了具有多年优秀的软件,并学会良性的代码看起来像什么。
ac敏度首席执行官克里斯•洛夫乔伊表示:“我们的引擎擅长于查看一段代码,然后说,这段代码缺少良性代码中应该看到的功能。”
但它也整合了从个人客户那里学到的东西。
她说:“在把引擎交给客户之前,我们对它进行了预先培训,从那以后,它就像是孩子离开了巢,将在客户的环境中继续学习。”
主引擎还会根据全球数据每季度进行更新,但独特的、特定于客户的数据不会在整个系统中共享。
这使得产品的每次部署略有不同,并针对每个特定客户进行定制。即使攻击者购买了系统的副本并找到绕过它的代码,也不会给他们带来任何好处。
洛夫乔伊说:“这是一种移动防御,不可能逆向工程,因为这些技术是特定于你的环境的。”
相关视频:
这个故事,“AI让安全系统更加灵活”最初发表方案 。