Bezpečnostní novinky

Jak může umělá inteligence vyzrát na kyberzločince

Threat Intelligence Team, 4. července 2017

Umělá inteligence, jiná než ji známe ze sci-fi filmů, je díky algoritmům strojového učení a velkým datům klíčová v boji s kybernetickými hrozbami.

Přestože se umělá inteligence objevuje jako nejnovější trend, používáme ji už léta. Může to znít jako protimluv, ale rozruch kolem umělé inteligence (a jedné z jejích disciplín - strojového učení) není neopodstatněný. Je dokonce velmi pravděpodobné, že zájem ještě docela dlouho potrvá. Umělá inteligence je zásadní také pro náš boj 
s neustále rostoucím množstvím a proměnlivostí kybernetických hrozeb pro naši schopnost rozpoznávat a odstraňovat malware.

Umělá inteligence je tu přes 60 let

Vědecký výzkum v oblasti umělé inteligence začal v roce 1956 v rámci projektu Dartmouth Summer Research Project on Artificial Intelligence. Od té doby jsme mohli umělou inteligenci spatřit – obvykle v podobě robotů s lidským myšlením a emocemi. Skutečná umělá inteligence je však naprosto odlišná a má mnohem širší záběr.

Cílem umělé inteligence je naučit počítače vykonávat určité činnosti velmi podobně, jako to dělají lidé. Používáme ji v oborech jako je zdravotní péče, zákaznická podpora nebo finančnictví. Součástí tvorby umělé inteligence je proces, při kterém si počítače vytvářejí pomocí algoritmů strojového učení vlastní reprezentaci opakujících se vzorů
v datech. Na základě takové reprezentace se pak činí i rozhodnutí o datech, která dříve nebyla k dispozici. Jinými slovy se učí z velkých souborů dat, které analyzují. Avast používá umělou inteligenci a strojové učení k ochraně svých uživatelů před nejčastějšími hrozbami již celé roky. Strojové učení používá např. MDE – jeden
z našich bezpečnostních modulů, který v roce 2012 vyvinuli naši bezpečnostní experti.

Proč ani ten nejchytřejší analytik nestačí

V začátcích éry počítačů a internetu jsme k zobecňování jednotlivých hrozeb používali řetězcové signatury. Tvorba signatury však vyžaduje schopného analytika a jeho čas. Signatury navíc nejsou dostatečně flexibilní k tomu, aby dokázaly rozpoznat všechny možné varianty moderních kybernetických hrozeb, které zločinci neustále vytvářejí, protože se jim to vyplatí. Na zvládnutí takového množství hrozeb není dost kvalifikovaných lidských sil, ani času. Abychom se všemi současnými hrozbami dokázali udržet krok, neobejdeme se bez umělé inteligence, ani bez strojového učení.

K dobrému zabezpečení potřebujeme umělou inteligenci proto, že kyberzločinci
po celém světě neustále vytvářejí nové a nové varianty malwaru, které často vypadají jako neškodné soubory nebo mění svou podobu, a proto jsou antivirovými nástroji obtížně odhalitelné. Aby toho nebylo málo, malware se mimo jiné prodává na temném webu (darknetu), takže ho mohou upravovat a šířit i lidé s minimálními technickými znalostmi.

Analytici sice dokáží zjistit, zda jsou jednotlivé soubory škodlivé či nikoli, musí při tom ale podrobně analyzovat kód těchto souborů a odhalit případné známky závadného chování. Vzhledem k tomu, že každý den obdržíme k prověření více než milion nových souborů, je analýza každého souboru tímto způsobem prakticky nemožná. Nástroj pro vyhledávání a odstraňování malwaru, jenž se spoléhá čistě na lidskou sílu, byste zkrátka nechtěli.

Počítače jsou naopak na zpracování takových dat ideální. To, co analytici dělávali ručně, se snažíme naučit stroje, a to pomocí algoritmů, které soubory převádějí
na vhodné číselné reprezentace. Získáváme tak ze souborů mnoho různých charakteristik či “otisků”. Takto získaná data jsou ale stále mnohem menší, než původní soubory. Jsou tedy vhodná k hromadnému zpracování, což se hodí zejména pro rychlé rozhodování.

Nikdy se nepřestáváme učit

Protože se hrozby neustále vyvíjejí, nijak nepolevujeme ve snaze zlepšit schopnosti našich technologií rozpoznávat neškodné soubory od těch škodlivých. Naši analytici svá zjištění o nových technikách autorů malwaru převádějí na algoritmicky získatelné charakteristiky, jež naše počítače posléze používají k tomu, aby se naučily rozhodovat o nově obdržených datech.

Výsledky našeho úsilí samozřejmě záleží na datech, která našim počítačům předložíme. Čím více dat jim dáme k dispozici, tím přesněji se naše systémy budou rozhodovat. Díky naší síti čítající více než 440 milionů uživatelů z celého světa, jejichž zařízení zároveň působí jako senzory, máme k dispozici ohromné množství informací, jež můžeme komplexně analyzovat. Dokážeme tak snadněji rozpoznávat škodlivé soubory od těch neškodných. Právě díky velkým souborům dat, strojovému učení
a umělé inteligenci poskytujeme našim uživatelům tu nejrychlejší a nejlepší ochranu před malwarem.