Знание о попытке произведения кибератаки в самом ее начале, а не тогда, когда она уже идет полным ходом или завершена, даст специалистам по кибербезопасности время, необходимое для принятия всех необходимых мер противодействия. Однако, выявление начала кибератаки на ее самом первом этапе является весьма сложным делом даже для имеющих богатый опыт специалистов в области информационной безопасности. “Палочкой-выручалочкой” в этом деле может стать новая система искусственного интеллекта, разработанная специалистами Массачусетского технологического института. Эта система сейчас способна выявить начало и предупредить о кибернападении в 85 процентах случаев, но по мере ее самообучения эта цифра будет увеличиваться и приближаться к отметке в 100 процентов.
Следует отметить, что в мире уже существуют программно-технические средства, в том числе и с искусственным интеллектом, которые нацелены на обнаружение и предотвращение кибератак. Большинство таких систем работает, производя в режиме реального времени анализ трафика, идущего на защищаемый узел или сеть, выявляя в этом трафике некоторые необычные аномалии. Некоторые методы нападения основаны на передаче большого количества сообщений системе об угрозе там, где ее нет на самом деле, другие методы действуют более прямолинейно – они перегружают системы огромным количеством запросов, но наиболее трудно поддаются распознаванию атаки, производимые по набору правил, составленных квалифицированными специалистами.
Исследователи из лаборатории Информатики и искусственного интеллекта (Computer Science and Artificial Intelligence Lab) Массачусетского технологического института разработали систему искусственного интеллекта, получившую название AI2, которая производит поиск признаков сразу нескольких типов кибератак. В системе задействованы три независимых алгоритма машинного изучения и самообучения, при помощи которых производятся поиски подозрительных событий. При начальном обучении и в особо “тяжелых случаях” система требует внимания человека, который должен сообщить системе о своем мнении насчет “подозрительности” того или иного события. Но даже квалифицированные специалисты не всегда могут отличить резкий всплеск трафика, которые иногда происходят в недрах Интернета, от начала DDoS-атаки.
Используя уже имеющийся “опыт” и подсказки человека система принимает решение о том, можно ли считать то или иное событие начало кибератаки. И, в случае дальнейшего подтверждения факта кибератаки, она корректирует ее внутренние модели. В течение длительного времени такого самообучения система начинает работать все лучше и лучше, количество “обращений” к людям-экспертам неуклонно снижается и спустя еще некоторое время система станет способна работать полностью самостоятельно.
Во время испытаний работоспособности системы AI2 ей было “скормлено” около 3.6 миллиарда строчек различных LOG-файлов, файлов, в которые записываются данные о событиях, запросах и прочих параметрах интернет-трафика. Система оказалась способна распознать 85 процентов случаев кибератак на самом раннем этапе их начала. Кроме этого, система совершила в пять раз меньше ошибок, нежели совершили другие подобные системы обнаружения кибератак.
“Чем больше кибератак сможет обнаружить наша система, тем эффективней станет ее дальнейшая работа” – рассказывает Кэльян Вирамачейнни (Kalyan Veeramachaneni), один из разработчиков системы, – “И через время эффективность работы системы сможет вплотную приблизиться в 100-процентной отметке. Останется только разработать вторую систему искусственного интеллекта, которая будет противодействовать кибератаке любого типа, и мы получим непрбиваемую систему защиты, которая будет “не по зубам” даже самому искусному хакеру”. Взято с http://dailytechinfo.org