Moc algorytmów i zaawansowanego uczenia maszynowego

Sztuczna inteligencja (AI) i uczenie maszynowe (ML) stały się kluczowymi technologiami w poprawie bezpieczeństwa organizacji. Wraz ze wzrostem ilości i złożoności danych, technologie AI i ML są wykorzystywane do rozszerzania możliwości narzędzi i systemów bezpieczeństwa. W tym opracowaniu technicznym omówimy, jak Bitdefender wykorzystuje AI i ML w swoim stosie technologicznym.

AI i ML w cyberbezpieczeństwie

W cyberbezpieczeństwie AI i ML służą do analizy danych i wykrywania wzorców, które są trudne i zbyt czasochłonne dla ludzi. Choć terminy AI i uczenie maszynowe są często używane zamiennie przez laików, w rzeczywistości uczenie maszynowe jest podzbiorem AI służącym do podejmowania decyzji lub przewidywania na podstawie danych.

Nie istnieje jeden uniwersalny model uczenia maszynowego rozwiązujący wszystkie problemy. Wykorzystujemy różne typy modeli ML, aby rozwijać technologie obejmujące różne obszary cyberbezpieczeństwa. Jeśli istniejące modele nie rozwiązują danego problemu, nasze zespoły Bitdefender Labs tworzą nowe, ukierunkowane na konkretne wyzwania. W kolejnej sekcji przedstawiamy niektóre sposoby wykorzystania istniejących modeli ML w naszej technologii.

Wykorzystanie istniejących modeli uczenia maszynowego

Technologie Bitdefender wykorzystują różne typy uczenia maszynowego do identyfikacji złośliwego zachowania, w tym uczenie głębokie (Deep Learning), duże modele językowe (LLM) oraz modele ML oparte na nadzorowanym, nienadzorowanym i samonadzorowanym szkoleniu.

Przykładem zastosowania modeli głębokiego uczenia (DL) w wielu warstwach portfolio technologicznego Bitdefender GravityZone jest ekstrakcja cech. Podobnie jak ludzki mózg rozpoznaje wzorce i wyodrębnia cechy z danych sensorycznych, modele głębokiego uczenia automatycznie ekstrahują cechy z danych wejściowych. Nasze skanowanie on-access wykorzystuje ekstrakcję cech do identyfikacji złośliwego oprogramowania, analizując m.in. wywołania API, wzorce kodu, nagłówki plików czy zachowanie sieciowe.

Innym przykładem jest nasza opatentowana technologia HyperDetect, która łączy nadzorowane i nienadzorowane algorytmy ML do analizy zachowania procesów i wykrywania podejrzanych lub złośliwych działań. HyperDetect identyfikuje zagrożenia niewykrywalne przez tradycyjne rozwiązania antywirusowe oparte na znanych sygnaturach. Duże modele językowe pozwalają dostosować „granicę decyzyjną” modelu – im bardziej agresywne ustawienie, tym większa czułość w wykrywaniu nowych typów malware.

Istnieje więcej modeli uczenia maszynowego, które Bitdefender wykorzystuje w naszych technologiach, ale Bitdefender Labs nie ogranicza się do uznanych algorytmów uczenia maszynowego i sztucznej inteligencji.

Własne modele AI i uczenia maszynowego Bitdefender

Zespół Bitdefender Labs nie ogranicza się do istniejących algorytmów AI/ML. Prowadzimy badania ataków oparte na eksploracji danych, analizie zachowań i obliczeniach ofensywnych, a wyniki wykorzystujemy do tworzenia własnych algorytmów. Byliśmy pionierami w stosowaniu ML do wykrywania malware już w 2008 r. i opublikowaliśmy ponad 70 prac naukowych z tej dziedziny.

Ponad 50 członków Bitdefender Labs wykłada na europejskich uczelniach, w tym na kursach sieci neuronowych na Uniwersytecie Aleksandra Jana Cuzy w Jassach (najstarszym w Rumunii). Ta współpraca z akademią pozwala nam korzystać z wiedzy najlepszych umysłów w dziedzinie AI.

Jeden z naszych autorskich modeli wykorzystujemy w ochronie przed atakami bezplikowymi (file-less), które infekują system poprzez legalne procesy (np. PowerShell). Tradycyjne rozwiązania często ich nie wykrywają, ale nasze modele potrafią ekstrahować cechy z linii poleceń i skryptów PowerShell. To osiągnięcie przyniosło nam tytuł „Key Innovators” od Komisji Europejskiej.

Inne modele ML służą do wykrywania anomalii. Każdy system u klienta ma własny, spersonalizowany model, który analizuje zachowanie, porównuje je z wskaźnikami ataków MITRE® oraz zdarzeniami specyficznymi dla użytkownika, a następnie dynamicznie dostosowuje się do zmieniających się wzorców.

Zespół Bitdefender Labs stworzył również kilka innych niestandardowych modeli uczenia maszynowego, które wykorzystujemy w wykrywaniu anomalii. Nasze niestandardowe modele uczenia maszynowego stosowane w wykrywaniu anomalii są trenowane indywidualnie dla każdego systemu klienta. Tak, każdy system w środowisku każdego klienta ma swój własny model uczenia maszynowego, dostosowany do specyfiki danego systemu. Model obserwuje zachowanie systemu i porównuje je z wskaźnikami ataków MITRE®, niestandardowymi wskaźnikami ataków opracowanymi przez Bitdefender Labs oraz zdarzeniami specyficznymi dla użytkownika. Z czasem model jest stale dostosowywany w miarę zmian podstawowego poziomu oczekiwanego i nieoczekiwanego zachowania, a wykryte anomalie są identyfikowane i przekazywane zespołom bezpieczeństwa.

Skalowalne modele AI

Technologie Bitdefender są obecne w rozwiązaniach dla konsumentów, firm i OEM. Daje nam to niezrównane możliwości wykrywania zagrożeń, ale także stanowi wyzwanie przy tworzeniu modeli uczenia maszynowego. Z powodzeniem opracowaliśmy modele, które mogą efektywnie działać na wszystkich typach sprzętu – od serwerów w centrach danych po domowe routery.

AI i ML w akcji

Sukces naszych innowacji znajduje odzwierciedlenie w wynikach. Na przykład, wykorzystując nasze ML i niestandardowo opracowaną adversarial AI, zidentyfikowaliśmy cechy behawioralne ransomware’a WannaCry w 2014 roku, czyli całe trzy lata przed pojawieniem się tego złośliwego oprogramowania w środowisku. Bitdefender konsekwentnie przewyższa również konkurentów w niezależnych ocenach. W testach AV-Comparatives Advanced Threat Protection na przykład, niezawodnie zatrzymujemy zagrożenia na etapie przed wykonaniem w większym stopniu niż nasi konkurenci. Skłoniło to ewaluatora AV-Comparatives do stwierdzenia: „Dobry alarm antywłamaniowy powinien zadziałać, gdy ktoś włamuje się do twojego domu, a nie czekać, aż zacznie kraść.”.

Więcej zasobów

Oficjalna strona AI Bitdefender: Przewaga Bitdefendera w zakresie AI w cyberbezpieczeństwie dla firm