تاثیر هوش مصنوعی در شناسایی بدافزارها
هوش مصنوعی به خودی خود نمیتواند بدافزارها یا تهدیدات سایبری را تشخیص دهد و آنها را برطرف کند اما از طریق مدلسازی رفتار خوب و بد میتواند با پیشرفتهترین تهدیدات مقابله کند. در این مقاله به خواهیم گفت گه چگونه هوش مصنوعی در مقابله با بدافزارها به شما کمک میکند.
مدلسازی رفتار خوب به جای رفتار بد
ابزارهای تشخیص بدافزار باید به صورت دائم بهبود یابند تا بتوانند با جدیدترین بدافزارها مقابله کنند. یکی از بزرگترین تکاملها در زمینهی ابزارهای تشخیص بدافزار کنار گذاشتن به دام انداختن و روی آوردن به شکار بود. در روش به دام انداختن تهدیدها تکنولوژیهای کنشپذیر (Passive) با استفاده از مدلهای رفتار بد، بدافزارها را شناسایی میکنند.
برای چندین دهه متمادی اکثر محصولات شناسایی بدافزار به مدل رفتار بد یا به دام انداختن وابسته بودند.
اما در روش شکار تهدیدات، مدلهای رفتار خوب به صورت فعال فعالیتهای مخرب و غیرعادی که با مدلها همخوانی ندارند را شناسایی میکنند. به صورت تئوری، با مدلسازی چیزهایی که خوب هستند، شما دیگر نیازی به مدلسازی چیزهایی که خوب نیستند ندارید. شما به دلیل اینکه میدانید چه چیزی خوب است، میتوانید چیزهایی که خوب نیستند را هم پیدا کنید.
کنارهگیری از به دام انداختن و روی آوردن به شکار خیلی ضروری بود زیرا بدافزارهای مدرن به اندازهای پیچیده شده بودند که به راحتی از نرمافزارهای امنیتی که براساس رفتارهای بد مانند امضا فعالیت میکردند، عبور میکردند. تولیدکنندگان بدافزارهای امروزی به اندازهای ماهر هستند که بدافزارهایی با یکبار استفاده یا استفاده محدود میسازند و از همین روی تولیدکنندگان امضا به هیچ وجه نمیتوانند یک الگو برای آنها پیدا کنند. بدون امضا نیز ابزارهای تشخیص بدافزاری که به رفتار بد وابسته هستند، کاملا بی اثر خواهند بود و نمیتوانند این نوع بدافزارها را تشخیص دهند.
به دلیل اینکه تکنولوژیهای شکار از مدلسازی رفتار خوب استفاده میکنند و وابسته به امضا نیستند، برای تشخیص بدافزارهای مدرن خیلی تاثیرگذار هستند. محصولاتی که از مدلسازی رفتار خوب پشتیبانی میکنند، خیلی از بدافزارهایی که ابزارهای وابسته به امضا نمیتوانند پیدا کنند را پیدا میکنند. به دلیل نظارت فعال بر رفتارها، ابزارهای شکار بدافزار، ناهنجاریهای زیر را به راحتی کشف میکنند:
- استفاده بیش از حد از یک منبع (مانند سیپییو یا رم)
- انتقال غیرمعمولی اطلاعات به یک هاست خارجی
- استفاده از برنامههایی مانند کامپایلرها یا ابزارهای اکتشاف شبکهای که قبلا استفاده نشدهاند
- لاگین در ساعتهای غیرمعمولی
نقش هوش مصنوعی در مدلسازی رفتار خوب
متاسفانه ساخت ابزارهای تشخیص بدافزار بر پایه مدلسازی رفتار خوب کار آسانی نیست. برای این کار باید میزان زیادی اطلاعات جمعآوری و آنالیز شود. این کار علاوه بر اینکه به دسترسی به دادههای زیادی نیاز دارد به قدرت پردازشی خیلی بالایی هم نیاز دارد که بتواند این میزان اطلاعات را پردازش کند. علاوه بر این، پردازش این میزان اطلاعات یک کار بی پایان است. به دلیل اینکه مدلهای رفتار خوب همیشه درحال تغییر هستند، مدلسازی این رفتارها نیز باید به صورت مداوم انجام شود.
انجام تمام این کارها برای مدلسازی رفتار خوب به صورت دستی تقریبا غیرممکن است. اما هوش مصنوعی و یا یادگیری برای این کار کاملا مناسب هستند. برخلاف انسان، هوش مصنوعی هیچوقت خسته نمیشود، از روشهای غیرمعمولی برای پردازش دادههای زیاد استفاده میکند و میتواند به صورت خودکار مدلهای پایهای رفتار خوب را تولید کند.
با اینکه مدلسازی رفتار خوب یک کار بی پایان است، هوش مصنوعی این قدرت را دارد که به صورت دائم تغییرات لازم را اعمال کند. به محض اینکه رفتارهای جدیدی مشاهده شوند، به صورت خودکار مورد بررسی قرار میگیرند.
غلبه بر مدلهای خوب کاذب
استفاده از هوش مصنوعی برای مدلسازی رفتارهای خوب خیلی از مشکلات فنی و چالشهای مرتبط به منابع را از بین خواهد برد اما بازهم اشکالاتی در زمینه ایجاد مدلهای دقیق دارد. استفاده از هوش مصنوعی در مدلسازی رفتارهای خوب کمک زیادی به شما میکند اما راهحل تمام مشکلات شما نیست.
هوش مصنوعی برای مدلسازی رفتارهای خوب یک مانع اساسی بر سر راه خودش دارد: مدلهای خوب کاذب (False-Positives)
این مشکل به این واقعیت برمیگردد که نرمافزارهای تشخیص بدافزار برپایهی ناهنجاریها برپایهی این فرضیه ساخته شدهاند که ناهنجاریها ذاتا بد هستند. هرچیزی که عادی نباشد خطرناک است یا میتواند خطرناک باشد و باید مورد بررسی قرار گیرد. اما در واقعیت ممکن است ناهنجاریهایی داشته باشیم که خوب هستند و یا رفتارهای بدی داشته باشیم که مانند ناهنجاری دیده نمیشوند.
این فرضیه اساسی اما ناقص باعث مشکلات زیادی میشود زیرا یک سیستم تشخیص بدافزار که برای تمام رویدادهای غیرعادی هشدار میدهد، کار مدیرهای سیستم را زیاد میکند. هر بار که سیستم یک چیز عجیب ببیند، یک نفر باید آن را مورد بررسی قرار دهد. برای مثال لاگین در ساعات غیر کاری میتواند نشانه حمله باشد، در صورتی که فقط یکی از کارمندها تصمیم گرفته است برای اولین بار تا دیر وقت کار کند. تمام این ناهنجاریها باعث ایجاد مشکلاتی میشوند که فقط پرسنل امنیتی حرفهای میتوانند آنها را برطرف کنند.
تقویت مدلسازی رفتار خوب با استفاده از رفتار بد
به منظور غلبه بر مشکل مدلهای خوب کاذبی که توسط سیستم مدلسازی رفتار خوب ایجاد میشوند، هر ناهنجاری باید مورد بررسی قرار گیرد. برای مثال ارتباط با یک سایت خارجی ممکن است کاملا عادی باشد و یا جزئی از یک حملهی نقض داده باشد. همچنین انتقال میزان زیادی اطلاعات میتواند یک استخراج غیرمجاز باشد و یا فقط مدیر سیستم در حال انتقال سرور باشد. یک آنالیزور داده یا مدیر سرور میتواند این ناهنجاریها را به صورت دستی و براساس دادهها و افرادی که این کار را انجام دادهاند تائید کند.
این متد دستی برای ارزیابی و سنجش مدلهای خوب کاذب برای مقداری کمی از دادهها ممکن است و هیچ شرکتی نیروی انسانی کافی برای ارزیابی این مقدار از تهدیدات امنیتی را ندارد.
خوشبختانه با تواناییهای پیشرفته هوش مصنوعی، دیگر نیازی نیست فقط به نیروی انسانی برای ارزیابی تهدیدات امنیتی بالقوه وابسته باشیم. با وجود کاستیهای فراوان مدلهای رفتار بد برای ارزیابی مدلهای خوب کاذب کاملا موثر هستند. هنگامی که هوش مصنوعی از مدلهای رفتاری خوب و بد به صورت همزمان استفاده میکند، تعداد مدلهای خوب کاذب را به میزان قابل توجهی کاهش میدهد.
برای درک کامل این موضوع اجازه دهید از مثال ارتباطات غیرمعمولی و انتقال دادههای زیاد استفاده کنیم. مدلهای رفتاری بد معمولا شامل اطلاعاتی راجع به هاستها و آدرس آیپیهای آلوده هستند. همچنین این مدلها اطلاعاتی راجع به ترافیکها و جریان دادههای مخرب دارند. این اطلاعات خیلی با ارزش هستند و هوش مصنوعی میتواند ارتباطات غیرمعمولی و انتقال اطلاعات زیاد را با استفاده از این مدلهای رفتاری بد ارزیابی کند. در صورتی که این اطلاعات با اطلاعاتی که مدل رفتاری خوب به دست آورده است همخوانی داشته باشد، میتوان با قاطعیت گفت که فعالیت کشف شده مربوط به یک بدافزار است. اما در صورتی که آدرسها، جریان دادهها و ترافیک با هیچکدام از مدلهای رفتاری بد مطابقت نداشته باشد، به احتمال زیاد فعالیت کشف شده فقط یک ناهنجاری معمولی است.
جمعبندی
با تکامل سیستمهای تشخیص بدافزار، نقش هوش مصنوعی نیز مهمتر خواهد شد. با وجود اینکه مدلهای رفتاری خوب مرتبط به هوش مصنوعی اغلب اوقات باعث ایجاد مدلهای خوب کاذب میشوند، افزودن نمونه خوکار مدلهای رفتاری بد میتواند این خطاها را به میزان قابل توجهی کاهش دهد.
با اینکه تصور دنیایی که نیروی انسانی نقشی در مبارزه با بدافزارها نداشته باشد کمی سخت است، پیشرفتهای اخیری که در زمینه هوش مصنوعی رخ داده است، وابستگی ما به نیروی انسانی را به شدت کاهش داده است.