Siber güvenlikte yapay zekanın (AI) kullanımı hakkında çok fazla yutturmaca var. Gerçek şu ki, AI'nın güvenlikteki rolü ve potansiyeli hala gelişiyor ve keşfedilmesi ve değerlendirilmesi gereken çok şey var. Sophos Baş Araştırma Bilimcisi Chester Wisniewski'nin yorumu.
Yapay zekayı olabildiğince hızlı bir şekilde daha da geliştirmek ve güvenlikte daha da verimli kullanabilmek için araştırmacılar ve yapay zeka uzmanları arasındaki kapsamlı fikir alışverişi özellikle önemlidir. Bu nedenle Sophos AI, yapay zeka kullanımını daha şeffaf hale getirmek ve yapay zekanın siber güvenlik alanında tartışılmasına ve konumlandırılmasına aktif olarak katkıda bulunmak için araştırma sonuçlarını güvenlik topluluğuyla açıkça paylaşmaya kararlıdır. Yapay zekanın siber güvenlik alanında daha da geliştirilmesinde en önemli konulardan biri, yapay zekanın eski ve yeni verilerle nasıl öğrendiğine dair farklı model ve yöntemlerdir.
Yapay zeka saptama modeli olarak "yıkıcı unutma"
Kötü amaçlı yazılım tespiti, BT güvenliğinin temel taşıdır ve AI, milyonlarca yeni kötü amaçlı yazılım örneğinden kalıpları birkaç gün içinde öğrenebilen tek yaklaşımdır. Bununla birlikte, kötü amaçlı yazılım tespiti için yapay zeka kullanıldığında iki soru ortaya çıkıyor: Öğrenme ve güncelleme hızı pahasına da olsa, model en iyi algılamayı sağlamak için tüm kötü amaçlı yazılım örneklerini sonsuza kadar tutmalı mı? Yoksa modelin kötü amaçlı yazılımın değişim hızına daha iyi ayak uydurabilmesini sağlayan, eski kalıpları unutma riskine rağmen seçici ince ayar mı yapmalıdır? İkincisi, "yıkıcı unutma" olarak bilinir. Bugün, bir modeli yeniden eğitmek yaklaşık bir hafta sürüyor. İyi bir hassas tornalama modelini güncellemek yaklaşık bir saat sürer.
Sophos yapay zeka ekibi, hızla gelişen tehdit ortamına ayak uydurabilecek, yeni kalıpları öğrenirken eski örnekleri hatırlamaya devam ederek minimum performans etkisi ile ince ayar modeli tasarlamanın mümkün olup olmadığını görmek istedi. Araştırmacı Hillary Sanders bu görevi üstlendi ve Sophos AI Blog'unda ayrıntılı olarak anlattığı bir dizi güncelleme seçeneğini değerlendirdi.
Tanıma ikilemi
Kötü amaçlı yazılım tespitini güncel tutmak kolay bir iş değildir. Kendinizi bir saldırıya karşı savunmak için attığınız her adıma, rakipleriniz bundan kaçınmak için yeni fikirlerle karşılık verir. Farklı kod veya teknikler kullanarak güncellemeler geliştirirler. Sonuç olarak, her gün yüzbinlerce yeni kötü amaçlı yazılım örneği ortaya çıkıyor.
Tespiti daha da zorlaştıran, en yeni ve en etkili kötü amaçlı yazılımların nadiren tamamen "yeni" olmasıdır. Genellikle yeni, eski, paylaşılan, ödünç alınan veya çalınan kodun yanı sıra benimsenen ve uyarlanan davranışların bir birleşimidir. Ek olarak, eski kötü amaçlı yazılımlar yıllar sonra yeniden ortaya çıkar ve savunmaları gafil avlamak için yeni saldırı yöntemlerine entegre edilir. Dolayısıyla algılama modelleri, yalnızca en yenileri değil, daha eski kötü amaçlı yazılım örneklerini de algılamasını sağlamalıdır.
AI algılama modellerini güncelleme
Yapay zeka algılama modellerini yeni kötü amaçlı yazılım örnekleriyle güncelleme söz konusu olduğunda, satıcıların iki seçeneği vardır.
Option1: Her bir örneği tutmak ve modeli sürekli artan miktarda veriyle yeniden eğitmek. Bu, daha iyi genel performansa yol açar, ancak aynı zamanda daha yavaş güncellemelere ve daha az sürüme yol açar.
Seçenek 2: Algılama modeli yalnızca yeni örneklerle güncellenir. Buna ince ayar denir. İnce ayar sürecinin her adımında model, yeni eklenen bilgilerle ve tüm mevcut modeller üzerindeki etkisiyle güncellenir. Sonuç olarak, model daha önce öğrendiği eski kalıpları "unutabilir" ("yıkıcı unutma"). Faydası: Bir modeli daha az veriyle eğitmek, hızla değişen kötü amaçlı yazılımlara daha iyi ayak uydurmak için daha hızlı güncellenebileceği ve devreye alınabileceği anlamına gelir.
AI tanıma modellerinin sürekli eğitimi
Bahsedilen iki seçenek ne olursa olsun, AI tanıma modellerinin sürekli olarak yeni örneklerle eğitilmesi çok önemlidir. Çünkü bir yapay zekanın kötü amaçlı yazılım örneklerinden öğrendiği kalıplar, yalnızca doğrudan eğitilenlerle ilgili algılamayı mümkün kılmakla kalmaz. AI ayrıca, eğitim verilerine en azından belirli bir benzerlik gösteren önceden bilinmeyen örnekleri de tanır. Bununla birlikte, zamanla, yeni örnekler, eski bir modeli daha az etkili hale getirecek ve güncelleme gerektirecek kadar sapma gösterir.
Grafiğin sol tarafı (kesikli çizginin yanında), zaman çizelgesindeki modeli daha eski eğitimli örneklerle gösterir. Burada tanınma oranı sürekli yüksektir. Modelin henüz eğitilmediği sağ tarafa yeni örnekler eklenir ve bu da daha düşük bir tanıma oranına neden olur.
Kötü amaçlı yazılım algılamayı güncellemek için üç seçenek
Hillary Sanders tarafından değerlendirilen kötü amaçlı yazılım tespitini güncellemek için üç seçenek şunlardır:
1. Eski ve yeni örneklerden oluşan bir seçki ile öğrenin
Buna "veri provası" denir ve eski örneklerin küçük bir örneğinin yeni, daha önce hiç görülmemiş eğitim verileriyle karıştırılmasını içerir. Bu şekilde model, eski kalıpları tanımak için ihtiyaç duyduğu eski bilgileri “hatırlıyor” ve aynı zamanda yeni kalıpları tanımayı öğreniyor.
2. Öğrenme hızının ayarlanması
Bu yaklaşımla modelin öğrenme oranı ayarlanır. Bu, belirli bir örneği gördükten sonra modelin ne kadar değişebileceğini tanımlayarak gerçekleştirilir. Öğrenme hızı çok hızlıysa (bu durumda model eklenen her örnekle çok değişebilir), yalnızca en son örnekleri hatırlar. Öğrenme hızı çok yavaşsa (eklenen her örnekle model yalnızca biraz değişebilir), öğrenmesi çok uzun sürer. Zorluk, öğrenme hızı, eski bilgileri koruma ve yeni bilgiler ekleme arasındaki mükemmel uzlaşmayı bulmaktır.
3. Elastik Ağırlık Konsolidasyonu (EWC)
Bu yaklaşım, Google'ın DeepMind'in 2017'deki çalışmasından esinlenmiştir. Elastik bir yay gibi, "unutmaya" başladığında yeni bir modeli eski modelin üzerine çeker. Hillary Sanders, bu ilkenin daha ayrıntılı bir açıklamasına sahiptir. SophosAI Blogu yayınlandı.
Grafikte gösterildiği gibi, her üç yaklaşım da eski kötü amaçlı yazılım örneklerinde (kesikli çizginin solunda) daha yeni örneklere (kesikli satırın sağında) göre daha iyi performans gösterir.
Sonuç
Eski ve yeni örneklerden oluşan bir seçki ile öğrenme (veri provası) en iyi uzlaşmadır
Kötü amaçlı yazılım tespitinde, geçmişi hatırlama yeteneği neredeyse geleceği tahmin etme yeteneği kadar önemlidir. Ancak bu, modeli yeni bilgilerle güncellemenin maliyeti ve hızına karşı değerlendirilmelidir. Veri provası, yeni modelleri güncelleme ve yayınlama hızınızı önemli ölçüde artırırken eski kötü amaçlı yazılımların tespitini sürdürmenin basit ve etkili bir yoludur.
Sophos.com'da daha fazla bilgi edinin
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.