Nowości z laboratorium wirusów

Jak sztuczna inteligencja potrafi przechytrzyć cyberprzestępców

Threat Intelligence Team, 4 lipca 2017

Sztuczna inteligencja to dziś nie science fiction — dzięki uczeniu maszynowemu i zbiorom Big Data jest kluczem do powstrzymania nowoczesnych zagrożeń cybernetycznych

Chociaż sztuczna inteligencja (ang. artificial intelligence - AI) istnieje od wielu lat, uznaje się ją za jeden z najważniejszych „nowych” trendów. Brzmi to trochę jak oksymoron, ale istnieje powód, dla którego zainteresowanie sztuczną inteligencją (i w ogóle uczeniem maszynowym) nie zmalało i prawdopodobnie będzie utrzymywać się przez długi czas. Sztuczna inteligencja ma kluczowe znaczenie w naszej walce z wciąż rosnącą liczbą i różnorodnością zagrożeń cybernetycznych. Jest też niezbędna do wykrywania i usuwania złośliwego oprogramowania.

Sztuczna inteligencja ma ponad 60 lat!

Badania nad sztuczną inteligencją rozpoczęli w 1956 roku naukowcy biorący udział w projekcie Dartmouth Summer Research Project on Artificial Intelligence. Od tego czasu sztuczna inteligencja pojawiła się w wielu filmach na ogół jako roboty myślące i czujące jak ludzie. Jednak w rzeczywistości sztuczna inteligencja znacząco różni się od tego, co widzimy w filmach, i jest dużo bardziej złożona.

Sztuczna inteligencja to nauka dotycząca wykonywania różnych zadań przez komputery, które naśladują inteligencję człowieka. Jest dziś używana w takich dziedzinach jak opieka zdrowotna, obsługa klienta czy finanse. Szczególnie ciekawym elementem sztucznej inteligencji jest proces, w którym komputery tworzą algorytmy uczenia maszynowego w celu podejmowania decyzji na podstawie wzorców danych — uczą się, analizując ogromne zbiory danych (Big Data). Avast od wielu lat korzysta ze sztucznej inteligencji i uczenia maszynowego. Dzięki temu możemy lepiej chronić użytkowników przed pojawiającymi się zagrożeniami. Jeden z naszych silników, MDE, używa funkcji uczenia maszynowego zaprojektowanej w 2012 roku przez naszych specjalistów ds. zabezpieczeń.

Dlaczego sztuczna inteligencja wygrywa nawet z najbystrzejszymi analitykami?

W początkach istnienia komputerów i Internetu używaliśmy podpisów opartych na ciągach znaków, aby tworzyć ogólne definicje wariantów zagrożenia. Podpisy wymagają jednak czasu oraz udziału analityka. Nie są też wystarczająco elastyczne, aby wykryć bardzo zróżnicowane współczesne zagrożenia cybernetyczne, które są powszechne dlatego, że służą przestępcom jako źródło dochodów.

Ludzi i czasu jest po prostu za mało, aby dotrzymać kroku liczbie nowych zagrożeń — i tu wkracza sztuczna inteligencja oraz uczenie maszynowe.

Uczenie maszynowe i sztuczna inteligencja mają kluczowe znaczenie dla bezpieczeństwa, ponieważ cyberprzestępcy na całym świecie bezustannie pracują nad tworzeniem nowych odmian złośliwego oprogramowania. Takie programy często wyglądają jak czyste pliki i potrafią się przekształcać, co jeszcze bardziej utrudnia detekcję silnikom antywirusowym. Przestępcy sprzedają też złośliwe oprogramowanie na czarnym rynku, umożliwiając osobom nawet z małą wiedzą techniczną modyfikowanie i rozpowszechnianie nowych odmian, co jeszcze pogarsza sytuację.

Oczywiście analitycy potrafią analizować pliki, aby ustalić, czy są one złośliwe. Wymaga to jednak przeanalizowania kodu w celu sprawdzenia, czy ma on cechy złośliwości. Analizowanie każdego pliku w ten sposób jest fizycznie niemożliwe, ponieważ każdego dnia powstaje ponad milion nowych plików. Narzędzie do skanowania w poszukiwaniu złośliwego oprogramowania lub do usuwania go, które polega wyłącznie na możliwościach człowieka, byłoby nieskuteczne.

Komputery są natomiast dobre w przeprowadzaniu obliczeń. Aby wykonywały zadania, które wcześniej były wykonywane ręcznie przez analityków, utworzyliśmy algorytmy konwertujące pliki na odpowiedniki numeryczne. Te algorytmy uczenia maszynowego wyodrębniają określone cechy, czyli inaczej mówiąc „odciski palców”, z otrzymywanych plików. To, co zostaje wyodrębnione, jest o wiele mniejsze od plików oryginalnych i dzięki temu nadaje się do przetwarzania masowego oraz (co szczególnie ważne) do szybkiego podejmowania decyzji.

Nigdy nie przestajemy się uczyć

Ze względu na to, że zagrożenia cały czas się rozwijają, bezustannie aktualizujemy wiedzę naszych maszyn na temat czystych i złośliwych plików, aby potrafiły lepiej je rozróżniać. W tym celu nasi analitycy konwertują nowe odkrywane techniki twórców złośliwego oprogramowania na nowe algorytmy, których następnie używają nasze maszyny, aby nauczyć się, jakie decyzje podejmować po otrzymaniu nowych danych.

Oczywiście nasze możliwości zależą od danych, które jesteśmy w stanie przekazać komputerom wykonującym obliczenia. Im więcej jest danych wejściowych, tym lepsze są decyzje podejmowane przez nasz system. Dzięki ponad 400 milionom naszych użytkowników na całym świecie, mamy dostęp do ogromnych ilości informacji. Przeprowadzamy na tych danych rozszerzoną analizę, aby ustalić, czy plik jest złośliwy, czy też nie. Łącząc dane Big Data, uczenie maszynowe i sztuczną inteligencję, możemy zapewnić użytkownikom najszybszą i najlepszą ochronę przed złośliwym oprogramowaniem.