Potřeba chránit data, ať už osobní nebo firemní, se za poslední desetiletí stala prakticky samozřejmostí. A není divu: zpráv o nejrůznějších kybernetických útocích především na větší firmy stále přibývá. V 80. letech byly spíše ukázkou zručnosti či zlomyslnosti daného útočníka. Postupně se však z oboru stal atraktivní zdroj velkých finančních zisků pro celé skupiny hackerů i cenných informací pro skupiny sponzorované některými státy.

Logování a pravidlové systémy nestačí

Jak poznat, že k útoku došlo? Někdy lze nalézt nakažený soubor nebo phishingový e-mail. Klíčovou součástí bezpečnostních řešení je ale také logování systémových a síťových či cloudových událostí.

Co nejširší sadu tzv. logů využívají nástroje pro detekci útoků. Základem bývá antivirový systém. S rostoucí sofistikovaností útoků vzrůstá potřeba propojení i dalších nástrojů, např. DNS, systém pro sledování síťového provozu nebo provozu v cloudu, detektor kompromitovaných e-mailů, webové proxy, firewall atd. K detekci nebo blokování útoků dochází většinou na základě zadaných pravidel nebo signatur, v mnoha případech však tyto metody narazí i na menší modifikace technik útočníků.

Nemohly by tedy s aktualizací bezpečnostních nástrojů a s blokováním pomoci stroje? Ovšem. Berou si na pomoc matematiku, zvlášť statistiku, a začnou se „učit“: používají strojové učení nebo některé techniky umělé inteligence.

Strojové učení může kombinovat anomálie

Můžeme rozlišit dvě skupiny použití. První, on-line systémy používají strojové učení pro detekci a zobrazení útoků, nebo přímo pro blokování v reálném čase. Mimo detekce naučené na základě příkladů se používá i detekce anomálního chování. Například počítač, který nikdy nekomunikoval ven ze sítě, náhle začne posílat megabajty dat. Takovéto detektory sledují záznamy o širší skupině uživatelů nebo o jednotlivých uživatelích a serverech po delší dobu. A upozorní další části systémů v případě, že nastalo něco neobvyklého, byl použit neobvyklý nástroj či technika.

Neobvyklého chování je však typicky příliš mnoho: sami uživatelé se chovají během dne či týdne dost odlišně, a markantnější to je v případě celých sítí. Základní signály je nutné zkombinovat, ideálně ze všech různých dostupných zdrojů, a nalézt a zablokovat, nebo dostatečně srozumitelně popsat jen skutečné útoky. Z pohledu strojového učení a statistiky je to úloha opravdu těžká: pozitivních (tedy nakažených) případů je oproti legitimnímu provozu velmi málo (např. jeden z 1000), data jsou obrovská, chování útočníků se postupně mění, standardní software se automaticky aktualizuje atd.

Odhalení nových variant útoků

Další použití strojového učení podporuje ta dříve popsaná. Cílem je najít nové, dosud nepopsané varianty malware, e-mailů, webových stránek a dalších útočníkových technik. Tyto informace lze pak následně použít jako zdroj dat pro modely pracující v reálném čase. Používají se výpočetně náročnější modely jako rozsáhlé neuronové sítě nebo obrovské grafové modely. Alespoň část výstupů, tedy např. popisů infrastruktur a technik, typicky kontrolují ručně bezpečnostní experti a jejich výsledky jsou pak cenným zdrojem pro další učení modelů.

V naší skupině Cognitive Intelligence ze společnosti Cisco používáme metody strojového učení pro detekci hrozeb již 10 let. Detekce chrání desítky milionů zařízení po celém světě. Základní zkušenost se stále opakuje: modely strojového učení nestačí jen přetrénovat, ale je nutné je stále vylepšovat, dodávat nová data a hledat nové cesty, jak útočníky odhalit.

Lukáš Bajer Autor článku získal doktorát na Matematicko-fyzikální fakultě UK a pracuje jako vědecký inženýr a datový analytik ve společnosti Cisco. Vede tým, se kterým se věnuje detekcím nových variant malwarových infrastruktur pomocí různých metod strojového učení, statistiky a grafových modelů, a který úzce spolupracuje s malwarovými analytiky.