Bajemos algunas muescas desde la IA hasta el aprendizaje automático. La IA es el gran paraguas y el aprendizaje automático se encuentra dentro de él.
Como regla general, la seguridad web se ha basado en indicadores estáticos de compromiso (también conocidos como firmas ) para detectar comportamientos maliciosos. Estos indicadores están codificados en reglas que codifican firmas que se sabe que son maliciosas.
Estos algoritmos de detección no son más que un conjunto de sentencias If / then y no cuentan como modelos de aprendizaje automático.
- ¿La IA va a destruir el futuro? ¿Por qué?
- ¿Los métodos actuales de IA limitan las exploraciones de IA reales o es la forma correcta de conducir a la IA real?
- ¿Cuál es la inteligencia artificial más avanzada que tenemos?
- ¿Las personas que creen que la IA llegará en 20 años son menos productivas?
- ¿Cómo modelamos los problemas de IA?
Aquí hay algunos ejemplos: ¿se escribió un archivo en / bin? ¿Se puso en contacto una aplicación con una IP externa maliciosa conocida? ¿Es la IP externa un nodo de salida tor? ¿Un proceso binario sobrescribió un sistema binario existente? ¿El hash de archivo de un binario coincide con un hash de malware conocido? Etc.
Considere el caso de una aplicación que se comunica con una IP externa. Un enfoque tradicional basado en reglas consultaría listas negras conocidas para clasificar la IP como benigna o maliciosa. Ya en 2012, la búsqueda de Google encontró 30 billones de URL únicas en la Web con un número proporcional, aunque más pequeño, de direcciones IP.
Dado esto, y que las nuevas URL se generan todos los días y las direcciones IP se reasignan periódicamente, es prácticamente imposible mantener actualizadas las listas negras de URL y direcciones IP. De hecho, ningún modelo de ML puede ser un resumen de todas las URL o direcciones IP benignas y maliciosas que existen.
Dicho esto, ML puede usarse para encontrar lo que es común a las IP benignas conocidas y las IP maliciosas conocidas para construir modelos que puedan distinguir uno del otro .
Los atacantes adaptan continuamente sus tácticas mediante el uso de diversas técnicas de ofuscación, que incluyen la ofuscación de hosts con IP, hosts con diferentes nombres de dominio, acortamiento de URL, generación algorítmica de URL, flujo rápido donde un solo nombre de dominio está en back-end por un conjunto de servidores en constante cambio. etc.
ML se ha utilizado con conjuntos de funciones cada vez más sofisticados para detectar URL maliciosas e IP maliciosas.
Tenga en cuenta que todavía estamos rascando la superficie sobre lo que pueden hacer los modelos de aprendizaje automático.
Creo que mucha gente, incluso los informados, subestiman la ubicuidad del aprendizaje automático.
Todo lo que hagamos en un futuro muy cercano tendrá adjuntos modelos de aprendizaje automático.
Si está interesado en la ingeniería de datos, consulte mi serie de cursos sobre cómo obtener el apodo de Ingeniero de datos certificado de Google. Este es el único requisito previo GRATIS.
Una introducción al aprendizaje automático para ingenieros de datos
