Siła algorytmów i zaawansowanego uczenia maszynowego

Sztuczna inteligencja (AI) i uczenie maszynowe (ML) stały się kluczowymi technologiami w poprawie postawy bezpieczeństwa organizacji. W miarę jak rośnie ilość i złożoność danych, technologie AI i ML są wykorzystywane do zwiększania możliwości narzędzi i systemów bezpieczeństwa. W tym opracowaniu technicznym omówimy, w jaki sposób Bitdefender wykorzystuje AI i ML w swoim stosie technologicznym.

AI i ML w cyberbezpieczeństwie

W cyberbezpieczeństwie AI i ML służą do uczenia się na podstawie danych i identyfikowania wzorców, które są trudne i zbyt czasochłonne do wykrycia dla ludzi. Choć często terminy „sztuczna inteligencja” i „uczenie maszynowe” są używane zamiennie przez laików, w rzeczywistości uczenie maszynowe jest podzbiorem AI służącym do podejmowania prognoz lub decyzji na podstawie danych.

Nie istnieje jeden uniwersalny model uczenia maszynowego, który rozwiązuje wszystkie problemy. Wykorzystujemy różne typy modeli ML, aby rozwijać technologie obejmujące różne obszary cyberbezpieczeństwa. Jeśli istniejące modele nie rozwiązują danego problemu, nasze zespoły Bitdefender Labs tworzą nowe modele ukierunkowane na konkretne wyzwanie. W kolejnej sekcji przedstawiamy niektóre sposoby wykorzystania istniejących modeli ML w naszej technologii.

Wykorzystanie istniejących modeli uczenia maszynowego

Technologie Bitdefender wykorzystują różne typy uczenia maszynowego do identyfikowania złośliwego zachowania. Wśród nich znajdują się uczenie głębokie (Deep Learning), duże modele językowe (Large Language Models) oraz uczenie maszynowe wykorzystujące nadzorowane, nienadzorowane i samonadzorowane metody treningowe.

Kluczowym przykładem wykorzystania modeli uczenia głębokiego (DL) w wielu warstwach stosu technologicznego Bitdefender GravityZone jest proces ekstrakcji cech. Podobnie jak ludzki mózg potrafi rozpoznawać wzorce i wyodrębniać cechy z danych sensorycznych, modele głębokiego uczenia są zaprojektowane do automatycznej ekstrakcji cech z danych wejściowych. Nasze skanowanie na żądanie wykorzystuje ekstrakcję cech do identyfikacji złośliwego oprogramowania. Analizujemy takie elementy jak wywołania API, wzorce kodu, informacje z nagłówków plików, zachowanie sieciowe i inne, aby wykryć cechy i wzorce charakterystyczne dla malware’u.

Innym przykładem łączenia różnych modeli ML jest nasza opatentowana technologia HyperDetect. HyperDetect wykorzystuje kombinację nadzorowanych i nienadzorowanych algorytmów uczenia maszynowego do analizy zachowania uruchomionych procesów i identyfikacji podejrzanych lub złośliwych aktywności. HyperDetect potrafi wykrywać zagrożenia, które mogą umknąć tradycyjnemu oprogramowaniu antywirusowemu, opierającemu się na znanych sygnaturach lub wzorcach złośliwego kodu. Duże modele językowe są wykorzystywane w HyperDetect do identyfikacji potencjalnych zagrożeń poprzez regulację marginesu „granicy decyzyjnej” modelu. Im bardziej agresywnie ustawiony jest ten margines, tym bardziej czuły staje się HyperDetect w wykrywaniu nowych, nieznanych wcześniej typów malware’u.

Bitdefender wykorzystuje w swoich technologiach więcej modeli uczenia maszynowego, ale Bitdefender Labs nie ogranicza się wyłącznie do ustalonych algorytmów AI i ML.

Niestandardowe modele AI i uczenia maszynowego Bitdefender

Zespół Bitdefender Labs nieustannie prowadzi badania ataków oparte na eksploracji danych, analizie zachowań i obliczeniach ofensywnych. Wykorzystujemy te odkrycia do tworzenia niestandardowych algorytmów uczenia maszynowego i AI. Byliśmy jednymi z pierwszych, którzy opracowali algorytmy ML do wykrywania złośliwego oprogramowania już w 2008 roku, a także opublikowaliśmy ponad 70 prac naukowych na temat uczenia maszynowego.

Bitdefender Labs jest głęboko zaangażowany w rozwój uczenia maszynowego i AI. Ponad 50 członków naszego zespołu wykłada na czołowych uniwersytetach w Europie, a niektórzy prowadzą zajęcia z sieci neuronowych na Uniwersytecie Aleksandra Jana Cuzy w Jassach, najstarszej uczelni w Rumunii. Ta ścisła współpraca ze światem akademickim pozwala nam korzystać z wiedzy najzdolniejszych umysłów w dziedzinie, aby rozwijać nasze niestandardowe modele ML.

Jednym z takich modeli jest ten stosowany w naszej zaawansowanej ochronie przed atakami bezplikowymi (File-less Attack Protection). Ataki bezplikowe to rodzaj cyberataków, które nie polegają na tradycyjnym pliku malware, lecz wykorzystują legalne programy i procesy, takie jak PowerShell czy wiersz poleceń, do przeprowadzenia infekcji. Te ataki na poziomie pamięci są często trudne do wykrycia przez tradycyjne rozwiązania antywirusowe. Nasz zespół opracował niestandardowe modele ML zdolne do ekstrakcji cech z linii poleceń i skryptów PowerShell. To osiągnięcie przyniosło nam tytuł „Kluczowych Innowatorów” przyznany przez Komisję Europejską.

Zespół Bitdefender Labs stworzył także kilka innych niestandardowych modeli ML wykorzystywanych w wykrywaniu anomalii. Modele te są trenowane indywidualnie na każdym systemie klienta. Tak, każdy system w środowisku klienta ma swój własny, dostosowany model ML. Model obserwuje zachowanie systemu i porównuje je z wskaźnikami ataków MITRE®, niestandardowymi wskaźnikami opracowanymi przez Bitdefender Labs oraz zdarzeniami specyficznymi dla użytkownika. Z czasem model jest stale dostosowywany w miarę zmian wzorców zachowań oczekiwanych i nieoczekiwanych, a wykryte anomalie są zgłaszane zespołom bezpieczeństwa.

Skalowalne modele AI

Technologie Bitdefender są obecne w segmentach konsumenckim, biznesowym i OEM. Daje nam to niezrównane możliwości wykrywania zagrożeń, ale także stanowi wyzwanie przy tworzeniu modeli ML. Opracowaliśmy modele, które mogą działać wydajnie na wszystkich typach sprzętu – od serwerów w centrach danych po domowe routery.

AI i ML w akcji

Sukces naszych innowacji znajduje odzwierciedlenie w wynikach. Na przykład, wykorzystując nasze modele ML i niestandardową AI, zidentyfikowaliśmy behawioralne cechy ransomware’u WannaCry już w 2014 roku – aż trzy lata przed jego pojawieniem się w środowisku. Bitdefender konsekwentnie przewyższa również konkurencję w niezależnych testach. W testach AV-Comparatives Advanced Threat Protection regularnie blokujemy zagrożenia na etapie przed wykonaniem z większą skutecznością niż konkurenci. Skłoniło to testerów AV-Comparatives do stwierdzenia: „Dobry alarm antywłamaniowy powinien zadziałać, gdy ktoś włamuje się do twojego domu, a nie czekać, aż zacznie kraść”.