AIと機械学習のサイバーセキュリティという新興分​​野で考慮すべき3つのこと

[[343105]]

[51CTO.com クイック翻訳] サイバー脅威の複雑さと数は時代とともに進化しています。しかし、従来の脅威検出方法では保護を確実に行うには不十分です。したがって、機械学習はサイバー攻撃の識別と防御に非常に効果的であることが証明されています。

機械学習の威力は、データ、計算能力、アルゴリズムという 3 つの要素に起因します。サイバー領域では、その性質上、大量のデータが生成されます。

たとえば、企業ネットワークでは、毎日数十億の IP パケット、数百万の DNS クエリ、解決された URL、実行されたファイル、エンドポイント デバイス上の数億のイベント (プロセス、接続、I/O) が発生する可能性があります。このデータの抽出、クリーニング、処理には膨大な計算能力が必要ですが、幸いなことに、さまざまなクラウドベースのプラットフォームを通じて、簡単かつ柔軟に、コスト効率よく利用できます。同様に、ますます強力になっているオープンソースの機械学習サイバーセキュリティ アルゴリズムを使用して、複雑な基礎数学を抽象化し、複雑なモデルを開発、調整、トレーニングすることができます。これらの要素を組み合わせることで、サイバーセキュリティ ベンダーはこれまで想像もできなかった機能を実現できます。

通常、サイバーセキュリティベンダーは、リアルタイムの顧客データ、攻撃者を引き付けるために設計された「ハニーポット」、およびオンラインコミュニティ内でのデータ共有を使用して、機械学習モデルをトレーニングします。

これにより、ファイルの鮮度、人気度、顧客ベース全体での使用頻度などを含むモデル署名を作成するなど、脅威の状況をより完全に把握できるようになります。ベンダーはまた、多数の既知の種類のマルウェアと正規のファイルを使用してモデルをトレーニングします。トレーニングには、ファイルが悪意のあるものであるかどうかを判断することや、マルウェアの修復または削除方法を決定する上で重要なマルウェアの種類の分類を試みることが含まれます。

機械学習には、マルウェア対策、ボット検出、詐欺対策、プライバシー保護など、幅広い用途があります。興味深いことに、サイバーセキュリティ コミュニティにおける機械学習の使用にはいくつかの新たな課題があり、大きな可能性を秘めた分野となっています。

敵対的AIと機械学習の役割

膨大なデータセットへのアクセス、大規模コンピューティングのコストの急速な低下、強力なアルゴリズムのオープンソースでの利用可能性による機械学習の民主化は、サイバーセキュリティ業界に大きな後押しをもたらし、機械学習をサイバー攻撃者の武器庫における重要な新しいツールにしていることが証明されています。

たとえば、生成的敵対モデルは、サイバーセキュリティ ツールによって攻撃が識別されるリスクを軽減する戦略を開発するために使用されます。機械学習ベースの動作異常検出システムは、通常の動作を学習して、異常な、潜在的に悪意のあるアクティビティを迅速に識別しますが、攻撃者も通常のユーザーおよびシステムの動作を学習して通常の動作を模倣し、検出のリスクを最小限に抑えるマルウェアを開発しています。

機械学習サイバーセキュリティ システムの有効性は、モデルのトレーニングに使用されるデータのクリーンさによって大きく左右される可能性があります。このため、攻撃者は「ポイズニング」攻撃に訴え、不正なトレーニング データを挿入してモデルが誤って学習するように影響を与えようとする可能性があります。このような攻撃は、偽のトラフィック パターンの生成から、商用またはオープン ソースのマルウェア サンプルのデータセットの汚染まで、さまざまな形態をとる可能性があります。

攻撃者は、誤検知を防ぐように設計された機械学習モデルを悪用することで検出を回避することができました。たとえば、攻撃者は、マルウェアに特定のパターンを埋め込むことで、マルウェアであっても一般的なマルウェア対策製品を騙してホワイトリストに登録させる（コードを正当なものとしてマークする）ことができることを理解しています。

機械学習を使用して人間のコミュニケーション パターンをモデル化し、より現実的で効果的なフィッシング攻撃を開発することは、注目に値するもう 1 つの敵対的な例です。自然言語処理と自然言語生成の最新技術（Open AI の GPT-3 など）により、実際のコミュニケーションと合成されたコミュニケーションを区別することがすぐに非常に困難になるでしょう。

機械学習と深層強化学習

従来の機械学習技術は、サイバーセキュリティ、特にゼロデイ攻撃とも呼ばれる未知の攻撃の検出において大きな成功を収めてきました。これらの手法は静的な線形環境ではうまく機能します。対照的に、今日の複雑な攻撃シナリオは動的、マルチパス、非線形です。攻撃リンクを受動的に特定するために、機械学習サイバーセキュリティ システムだけに頼るだけではもはや十分ではありません。

深層強化学習は、深層学習技術 (畳み込みニューラル ネットワークなど) と強化学習を組み合わせたものであるため、機械学習の分野で最も興味深いトピックの 1 つです。これが、DeepMind の AlphaZero の画期的な進歩の背後にある中核的なアプローチです。深層強化学習をサイバーセキュリティに適用することは、複雑な脅威に対処するための重要なステップです。

深層強化学習システムは、人間と少し似た方法で学習します。彼らは自分の環境（サイバーセキュリティのイベント空間）を探索し、取った行動に基づいてフィードバックと報酬を受け取り、継続的に学習します。この自律的なアプローチは、優れた有効性、汎用性、適応性を備え、複雑な敵対シナリオに適していることが証明されています。

サイバーセキュリティと IoT のための機械学習

毎年、何百億もの新しい接続デバイスがオンラインになり、将来的にはさらに増えるでしょう。ただし、これらの IoT デバイスの多くは、コンピューティング容量やストレージ容量が限られており、エンドポイント ネットワーク セキュリティ ソフトウェアを実行できず、独自のファームウェア上に構築されています。これらのデバイスは「ヘッドレス」である傾向があり、ユーザーがデバイス上で実行されているソフトウェアにアクセスしたり更新したりする機能は限られています。これらの理由から、IoT デバイスは明らかにサイバー攻撃に対して脆弱です。

この問題に対処する論理的なアプローチは、IoT サイバーセキュリティ テクノロジーをネットワーク レベルまたはクラウドで実行することです。ただし、従来の署名ベースのネットワーク セキュリティ技術は、IoT デバイスのセキュリティ問題に対処するようには設計されていません。さらに、現在の IoT ネットワーク セキュリティ製品のほとんどは、単に IDS、URL レピュテーション、または強化された DNS サービスを再パッケージ化したものです。しかし、この分野に機械学習を適用する最先端の研究が存在します。高度なモデルは、少数のパケットのみを検査することで感染したデバイスを識別するように設計されており、脅威を積極的に検出してブロックできます。

最も重要な革新は、多くの場合、隣接する分野の交差点で発生します。今は、機械学習とサイバーセキュリティの両分野にとってエキサイティングな時代です。機械学習の力は、サイバー空間における重要なイノベーションを推進するために活用され、最終的には私たち全員の安全を守ることにつながります。

元のタイトル: 新たな AI と ML のサイバーセキュリティ環境で考慮すべき 3 つのこと

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください]