机器学习的进步正在使安全系统更容易培训和更灵活地处理变化的条件,但并非所有用例都以相同的速度受益。
机器学习和人工智能,最近一直在注意,这是对这项技术有很多合理的兴奋。
其中一个副作用是,几乎所有东西现在都被重新制作为“机器学习”,使得术语非常困难地放下。就像“云”这个词一样意味着在网上发生的任何事情,所以“人工智能”是迅速移动到几乎任何涉及计算机的点,所以涉及到它的标签。
“也有很多炒作,”Anand Rao,创新领先于美国分析PricewaterhouseCoopers LLC.。“人们谈论AI成为超级智能,将接管人类和人为决策。”
[也在CSO上:机器学习是重塑安全性]
一个常见的安全任务是确定新下载或已安装的应用程序是否恶意。传统方法是一个非常基本的专家系统 - 应用程序的签名是否与已知恶意软件的签名?
然而,这种标准的防病毒方法的缺点是它需要在新的恶意软件出现时不断更新,并且非常脆弱。一块仅在它的恶意软件中,可以轻松地逃避检测。
一次创业,深刻的本能,正在寻求对问题应用深度学习技巧,利用现在有接近10亿个已知恶意软件样本,可用于培训目的。
“深入学习已经彻底改变了许多领域,”公司的首席技术官Eli David说。“计算机愿景一年提高了20%至30%,即时到超级人类的愿景。语音识别。为什么不应该在网络安全方面工作?”
CSO工作人员
即使是基于概率的机器学习系统是有限的,他说。只有这么多因素可以通过专家识别,称重,然后调整最佳结果。与此同时,未知的其他因素被视为太轻微或不相关。
“你扔掉了大部分数据,”他说。
深度本能作品的方式是深度学习系统在实验室培训,在实验室,在所有已知的恶意软件上。
他说,这个过程需要大约一天,并且需要重型图形处理单元来分析数据。
他说,由此产生的训练系统是大小的千兆字节,对于大多数应用来说,太大了,但是该公司将其陈占至大约20兆字节。然后,它可以安装在任何端点设备上,包括移动设备,并且可以在最慢的机器上分析几毫秒内的传入威胁。
“平均一兆字节的文件不到一毫秒,”大卫说我们在实验室里用非常复杂的基础设施做所有复杂的事情,而客户得到的只是一个非常小的大脑。他们看不到所有的复杂性。”
同时,回到实验室时,新的恶意软件样本被添加到数据收集中,每三个或四个月左右的每三个月左右都会向终点设备上运行的所有大脑进行更新。
“但即使大脑未更新六个月,它仍然可以检测到新文件,”大卫说。“深入学习非常善于易在新的变化或突变。”
每天出现的数百万新恶意软件样本中,大多数都是现有恶意软件的微小变异。
“即使是高级威胁演员和国家州的全新零天仍然与旧的居民相同,”大卫说。“传统方法不会发现它们。深度学习将很容易地检测到它们。”
他说,该公司正在与独立的测试实验室量化结果,但是,与现有解决方案相比,财富500强客户的早期测试显示了更高的恶意软件检测率为20%至30%。
“我们最近在美国的主要银行对100,000个文件进行了测试,”他说。“现有的解决方案是在测试的早晨更新,我们的2个月大。我们的解决方案检测99.9%,他们的40%。”
找到原因
最新的深度学习系统的缺点之一是他们可以提出答案 - 但可能不一定能够解释他们是如何做到的。
但情况并非总是如此。
事实上,eureqa的主要工作,一个专有的ai发动机营养不安,是找出事情发生的原因。
例如,当迈克尔·施密特(CTO)表示,当何时指出物理数据时,Eureqa能够重新发现牛顿的法律。
“它会找到最简单,最优雅的方式来描述发生的事情,以及这种关系是什么,”他说。
他说,该公司已将发动机免费提供给研究人员,并且他已经有助于500多个期刊出版物。例如,在医学中,它有助于找到新的模型,以帮助诊断黄斑变性和阑尾炎等疾病。
他说,它还具有网络安全的应用。
“最困难的问题是找出一个网络攻击的解剖学,”他说。“AI与EureQA的一个应用程序是自动执行此过程。”
一旦客户注册了基于云的系统,查看数据可能需要大约一个小时,然后很快就会得到答案。
“我们已经能够重现产业的结果,其中几年才能在几分钟内完成,”他说。
本地和全球培训
在网络安全中,定期更新对于任何类型的机器学习系统都很重要,因为景观变化如此迅速。
如果没有常规更新,所有系统都会过时,因为人类总是带着新的东西。员工开始做新事物。供应商改变他们的应用程序。客户更改购物模式。当然,黑客专门设计用于绕过现有系统的新恶意软件。
同时,在下次更新出来之前,有一个漏洞的窗口。
特别是,坏人可以购买安全软件的副本,并测试他们对这些软件的攻击,直到他们找到有效的东西。
“那么他们可以在所有这些供应商的客户上使用它,直到下一次更新出来,”管理网络公司的首席科学家警告Mike StuteMasergy通讯公司。
他说,一个解决方案是摆脱许多安全系统供应商使用的“一刀切”的方法。
“您可以使用本地模式,对等模式和行业范围的模式,并以不同的费率更新,”他说。
Masergy使用一定数量的全局因素来寻找可疑发生的可能性,然后将其与唯一的本地指标结合起来。
他说,全球系统只能看一下有限数量的投入。“只有这么多的空间。我寻找最常发生的功能。”
他说,额外的本地焦点可以增加更多的投入。“在本地模型中,我不必将它们压缩到较小的功能集中。”
他说,这不仅允许唯一性,而且为了更好的准确性,也就是说,他说。
局部和全球方法也是使用的敏锐解决方案,这使得BluVector设备使用机器学习来检测网络威胁。
基于美国政府机构的先进研究计划,该系统始于多年的好软件,并学习良性代码看起来像什么。
“我们的引擎擅长看一段代码并说,这段代码没有您希望在良性代码中看到的功能,”Acity Ceo Kris Lovejoy表示。
但是,它还融入了各个客户的新学习。
“我们在向客户提供之前预先训练了发动机,然后从那一点开始,它几乎就像孩子离开了巢穴,它将继续在客户的环境中学习,”她说。
主引擎还基于全局数据季度季度更新,但唯一的客户特定数据不在系统中共享。
这使得产品的每个部署略有不同,并为每个特定客户定制。即使攻击者购买了系统的副本并找到绕过它的代码,它也不会做任何好处。
洛夫乔伊说:“这是一种移动防御,不可能进行反向工程,因为这些技术是特定于您的环境的。”。
相关视频:
这个故事“人工智能使安全系统更加灵活”最初由CSO 。