فناوری

تاثیر هوش مصنوعی در شناسایی بدافزارها

خرید کابل شبکه

هوش مصنوعی به خودی خود نمی‌تواند بدافزارها یا تهدیدات سایبری را تشخیص دهد و آن‌ها را برطرف کند اما از طریق مدلسازی رفتار خوب و بد می‌تواند با پیشرفته‌ترین تهدیدات مقابله کند. در این مقاله به خواهیم گفت گه چگونه هوش مصنوعی در مقابله با بدافزارها به شما کمک می‌کند.

مدلسازی رفتار خوب به جای رفتار بد

ابزارهای تشخیص بدافزار باید به صورت دائم بهبود یابند تا بتوانند با جدیدترین بدافزارها مقابله کنند. یکی از بزرگترین تکامل‌ها در زمینه‌ی ابزارهای تشخیص بدافزار کنار گذاشتن به دام انداختن و روی آوردن به شکار بود. در روش به دام انداختن تهدیدها تکنولوژی‌های کنش‌پذیر (Passive) با استفاده از مدل‌های رفتار بد، بدافزارها را شناسایی می‌کنند.

برای چندین دهه متمادی اکثر محصولات شناسایی بدافزار به مدل رفتار بد یا به دام انداختن وابسته بودند.

اما در روش شکار تهدیدات، مدل‌های رفتار خوب به صورت فعال فعالیت‌های مخرب و غیرعادی که با مدل‌ها همخوانی ندارند را شناسایی می‌کنند. به صورت تئوری، با مدلسازی چیزهایی که خوب هستند، شما دیگر نیازی به مدلسازی چیزهایی که خوب نیستند ندارید. شما به دلیل اینکه می‌دانید چه چیزی خوب است، می‌توانید چیزهایی که خوب نیستند را هم پیدا کنید.

کناره‌گیری از به دام انداختن و روی آوردن به شکار خیلی ضروری بود زیرا بدافزارهای مدرن به اندازه‌ای پیچیده شده بودند که به راحتی از نرم‌افزارهای امنیتی که براساس رفتارهای بد مانند امضا فعالیت می‌کردند، عبور می‌کردند. تولیدکنندگان بدافزارهای امروزی به اندازه‌ای ماهر هستند که بدافزارهایی با یکبار استفاده یا استفاده محدود می‌سازند و از همین روی تولیدکنندگان امضا به هیچ وجه نمی‌توانند یک الگو برای آن‌ها پیدا کنند. بدون امضا نیز ابزارهای تشخیص بدافزاری که به رفتار بد وابسته هستند، کاملا بی اثر خواهند بود و نمی‌توانند این نوع بدافزارها را تشخیص دهند.

نقش هوش مصنوعی در تشخیص بدافزارها

به دلیل اینکه تکنولوژی‌های شکار از مدلسازی رفتار خوب استفاده می‌کنند و وابسته به امضا نیستند، برای تشخیص بدافزارهای مدرن خیلی تاثیرگذار هستند. محصولاتی که از مدلسازی رفتار خوب پشتیبانی می‌کنند، خیلی از بدافزارهایی که ابزارهای وابسته به امضا نمی‌توانند پیدا کنند را پیدا می‌کنند. به دلیل نظارت فعال بر رفتارها، ابزارهای شکار بدافزار، ناهنجاری‌های زیر را به راحتی کشف می‌کنند:

  • استفاده بیش از حد از یک منبع (مانند سی‌پی‌یو یا رم)
  • انتقال غیرمعمولی اطلاعات به یک هاست خارجی
  • استفاده از برنامه‌هایی مانند کامپایلرها یا ابزارهای اکتشاف شبکه‌ای که قبلا استفاده نشده‌اند
  • لاگین در ساعت‌های غیرمعمولی

نقش هوش مصنوعی در مدلسازی رفتار خوب

متاسفانه ساخت ابزارهای تشخیص بدافزار بر پایه مدلسازی رفتار خوب کار آسانی نیست. برای این کار باید میزان زیادی اطلاعات جمع‌آوری و آنالیز شود. این کار علاوه بر اینکه به دسترسی به داده‌های زیادی نیاز دارد به قدرت پردازشی خیلی بالایی هم نیاز دارد که بتواند این میزان اطلاعات را پردازش کند. علاوه بر این، پردازش این میزان اطلاعات یک کار بی پایان است. به دلیل اینکه مدل‌های رفتار خوب همیشه درحال تغییر هستند، مدلسازی این رفتارها نیز باید به صورت مداوم انجام شود.

انجام تمام این کارها برای مدلسازی رفتار خوب به صورت دستی تقریبا غیرممکن است. اما هوش مصنوعی و یا یادگیری برای این کار کاملا مناسب هستند. برخلاف انسان، هوش مصنوعی هیچوقت خسته نمی‌شود، از روش‌های غیرمعمولی برای پردازش داده‌های زیاد استفاده می‌کند و می‌تواند به صورت خودکار مدل‌‌های پایه‌ای رفتار خوب را تولید کند.

با اینکه مدلسازی رفتار خوب یک کار بی پایان است، هوش مصنوعی این قدرت را دارد که به صورت دائم تغییرات لازم را اعمال کند. به محض اینکه رفتارهای جدیدی مشاهده شوند، به صورت خودکار مورد بررسی قرار می‌گیرند.

غلبه بر مدل‌های خوب کاذب

مدلسازی رفتار خوب

استفاده از هوش مصنوعی برای مدلسازی رفتارهای خوب خیلی از مشکلات فنی و چالش‌های مرتبط به منابع را از بین خواهد برد اما بازهم اشکالاتی در زمینه ایجاد مدل‌های دقیق دارد. استفاده از هوش مصنوعی در مدلسازی رفتارهای خوب کمک زیادی به شما می‌کند اما راه‌حل تمام مشکلات شما نیست.

هوش مصنوعی برای مدلسازی رفتارهای خوب یک مانع اساسی بر سر راه خودش دارد: مدل‌های خوب کاذب (False-Positives)

این مشکل به این واقعیت برمی‌گردد که نرم‌افزارهای تشخیص بدافزار برپایه‌ی ناهنجاری‌ها برپایه‌ی این فرضیه ساخته شده‌اند که ناهنجاری‌ها ذاتا بد هستند. هرچیزی که عادی نباشد خطرناک است یا می‌تواند خطرناک باشد و باید مورد بررسی قرار گیرد. اما در واقعیت ممکن است ناهنجاری‌هایی داشته باشیم که خوب هستند و یا رفتارهای بدی داشته باشیم که مانند ناهنجاری دیده نمی‌شوند.

این فرضیه اساسی اما ناقص باعث مشکلات زیادی می‌شود زیرا یک سیستم تشخیص بدافزار که برای تمام رویدادهای غیرعادی هشدار می‌دهد، کار مدیرهای سیستم را زیاد می‌کند. هر بار که سیستم یک چیز عجیب ببیند، یک نفر باید آن را مورد بررسی قرار دهد. برای مثال لاگین در ساعات غیر کاری می‌تواند نشانه حمله باشد، در صورتی که فقط یکی از کارمندها تصمیم گرفته است برای اولین بار تا دیر وقت کار کند. تمام این ناهنجاری‌ها باعث ایجاد مشکلاتی می‌شوند که فقط پرسنل امنیتی حرفه‌ای می‌توانند آن‌ها را برطرف کنند.

تقویت مدلسازی رفتار خوب با استفاده از رفتار بد

به منظور غلبه بر مشکل مدل‌های خوب کاذبی که توسط سیستم مدلسازی رفتار خوب ایجاد می‌شوند، هر ناهنجاری باید مورد بررسی قرار گیرد. برای مثال ارتباط با یک سایت خارجی ممکن است کاملا عادی باشد و یا جزئی از یک حمله‌ی نقض داده باشد. همچنین انتقال میزان زیادی اطلاعات می‌تواند یک استخراج غیرمجاز باشد و یا فقط مدیر سیستم در حال انتقال سرور باشد. یک آنالیزور داده یا مدیر سرور می‌تواند این ناهنجاری‌ها را به صورت دستی و براساس داده‌ها و افرادی که این کار را انجام داده‌اند تائید کند.

این متد دستی برای ارزیابی و سنجش مدل‌های خوب کاذب برای مقداری کمی از داده‌ها ممکن است و هیچ شرکتی نیروی انسانی کافی برای ارزیابی این مقدار از تهدیدات امنیتی را ندارد.

خوشبختانه با توانایی‌های پیشرفته هوش مصنوعی، دیگر نیازی نیست فقط به نیروی انسانی برای ارزیابی تهدیدات امنیتی بالقوه وابسته باشیم. با وجود کاستی‌های فراوان مدل‌های رفتار بد برای ارزیابی مدل‌های خوب کاذب کاملا موثر هستند. هنگامی که هوش مصنوعی از مدل‌های رفتاری خوب و بد به صورت همزمان استفاده می‌کند، تعداد مدل‌های خوب کاذب را به میزان قابل توجهی کاهش می‌دهد.

مدلسازی رفتار بد

برای درک کامل این موضوع اجازه دهید از مثال ارتباطات غیرمعمولی و انتقال داده‌های زیاد استفاده کنیم. مدل‌های رفتاری بد معمولا شامل اطلاعاتی راجع به هاست‌ها و آدرس آی‌پی‌های آلوده هستند. همچنین این مدل‌ها اطلاعاتی راجع به ترافیک‌ها و جریان داده‌های مخرب دارند. این اطلاعات خیلی با ارزش هستند و هوش مصنوعی می‌تواند ارتباطات غیرمعمولی و انتقال اطلاعات زیاد را با استفاده از این مدل‌های رفتاری بد ارزیابی کند. در صورتی که این اطلاعات با اطلاعاتی که مدل رفتاری خوب به دست آورده است هم‌خوانی داشته باشد، می‌توان با قاطعیت گفت که فعالیت کشف شده مربوط به یک بدافزار است. اما در صورتی که آدرس‌ها، جریان داده‌ها و ترافیک با هیچکدام از مدل‌های رفتاری بد مطابقت نداشته باشد، به احتمال زیاد فعالیت کشف شده فقط یک ناهنجاری معمولی است.

جمع‌بندی

تشخیص بدافزار با استفاده از هوش مصنوعی

با تکامل سیستم‌های تشخیص بدافزار، نقش هوش مصنوعی نیز مهم‌تر خواهد شد. با وجود اینکه مدل‌های رفتاری خوب مرتبط به هوش مصنوعی اغلب اوقات باعث ایجاد مدل‌های خوب کاذب می‌شوند، افزودن نمونه خوکار مدل‌های رفتاری بد می‌تواند این خطاها را به میزان قابل توجهی کاهش دهد.

با اینکه تصور دنیایی که نیروی انسانی نقشی در مبارزه با بدافزارها نداشته باشد کمی سخت است، پیشرفت‌های اخیری که در زمینه هوش مصنوعی رخ داده است، وابستگی ما به نیروی انسانی را به شدت کاهش داده است.

خرید تجهیزات پسیو شبکه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا