¿Cómo abordaría la ciberseguridad y el aprendizaje automático a través de un aprendizaje supervisado, no supervisado o de refuerzo?

Puedo dar ejemplos de casos de uso para cada categoría que hemos explorado o que usamos actualmente para aplicar el aprendizaje automático a problemas de ciberseguridad.

Supervisado: uso de redes neuronales recurrentes para distinguir entre dominios DNS “normales” y los generados por algoritmos de generación de dominio

El objetivo aquí es distinguir entre el dominio “probablemente normal” y los generados aleatoriamente por malware, para comunicarse con sus servidores de comando y control. Este es un excelente ejemplo porque los enfoques basados ​​en firmas son inútiles aquí: los dominios generados aleatoriamente suelen ser realmente aleatorios y cambian con bastante frecuencia para adelantarse a las actualizaciones de firmas.

En realidad, existen muchas técnicas sobre cómo distinguir entre los dominios, como el uso del análisis lingüístico (por ejemplo … los dominios generados aleatoriamente tienden a tener una proporción extraña de consonantes a vocales cuando se come. Uno de los más efectivos y precisos que he visto hasta ahora es aprovechar las Redes Neuronales Recurrentes [RNN] para distinguir entre las dos. Las RNN se destacan en la búsqueda de estructuras temporales en secuencias (tenga en cuenta que un dominio es solo una secuencia de letras y símbolos). se parece a esto:

1. Reúna su conjunto de datos de dominio normal (generalmente algo así como Alexa Top 1 Million Sites) y su conjunto de datos de dominios aleatorios (generalmente de Algoritmos de generación de dominio)
2. Etiqueta “normal” como 0 y aleatoriamente generada como “1”
3. Construya un RNN profundo (2 o más capas) cuya entrada es el dominio dividido en una secuencia de caracteres, y cuyo resultado deseado es un sigmoide (que genera un valor entre 0 y 1)
4. Su función de pérdida minimiza el error entre la salida RNN para una secuencia dada y la etiqueta (0 o 1 según el paso 2)

Nota: Es un error común pensar que las redes neuronales están supervisadas y requieren un conjunto de datos etiquetado. Si bien esto es cierto en la mayoría de los casos, no siempre es así. De hecho, generalmente utilizamos variaciones no supervisadas de RNN (ver enlaces en “otros ejemplos” a continuación)

Sin supervisión: uso de mapas autoorganizados y técnicas de agrupamiento para identificar tráfico IP anómalo

Los mapas autoorganizados son un tipo genial de red neuronal. Cada neurona representa esencialmente un punto en el espacio multidimensional, y cada neurona está conectada a sus vecinos. Cada vez que se presenta una muestra de entrenamiento en este espacio multidimensional al SOM, la neurona más cercana “gana” y se acerca a la muestra de entrenamiento, y “atrae” a sus vecinos junto con ella. Una aplicación atractiva que he visto es hacer un SOM aproximado a un boceto de Maryln Monroe:

Los SOM son extremadamente útiles porque después del entrenamiento, la mayoría de las neuronas se agruparían hacia datos “normales”, mientras que una minoría se agruparía hacia datos anormales. Los SOM generalmente se usan como un “prefiltro” para organizar sus datos de prueba en un espacio multidimensional en el que posteriormente puede ejecutar algoritmos de agrupación basados ​​en la distancia, como DBSCAN.

En CyberSift hemos utilizado esta técnica con tráfico IP: si una muestra de prueba se pasa a través del SOM y se asocia con una neurona que está bastante lejos de sus vecinos, eso es claramente una anomalía

Otros ejemplos no supervisados ​​serían el uso de cadenas ocultas de Markov para determinar qué tan probable es una secuencia de llamadas al sistema; eso es esencialmente lo que usamos en nuestra demostración Anti-Ransomware (ver “otros ejemplos”)

Aprendizaje de refuerzo: llevar la inteligencia de amenazas y el usuario final al círculo

No vemos muchos ejemplos de esto en la academia porque es una de esas características que es más importante en la producción que en un laboratorio. Los algoritmos de aprendizaje automático basados ​​en anomalías aplicados en la práctica son notoriamente altos en falsos positivos [FP]. Una forma de lidiar con esto es mantener a un humano al tanto. En el caso de CyberSift, este suele ser el ingeniero de seguridad que utiliza nuestro producto. Apuntamos a que cuando ocurra un falso positivo, el ingeniero puede marcar una alerta como falsa y esto internamente ajustará los pesos de nuestros algoritmos, por ejemplo, cambiando los pesos de las muestras de entrenamiento o los pesos del modelo de un conjunto. Esto hace que nuestros algoritmos sean más precisos con el tiempo. En esencia, los modelos de CyberSift se convierten en los “Agentes”, mientras que el Ingeniero es el “Intérprete” o “Crítico”. Un concepto similar es utilizar fuentes de inteligencia de amenazas externas como su intérprete / crítico. Por ejemplo, aumente los pesos de las muestras que contienen direcciones IP erróneas conocidas, y así sucesivamente …

Otros ejemplos

• Uso de LSTM (sin supervisión) como Docker HIDS: ¿Qué tienen en común el texto predictivo de teléfonos inteligentes y la ciberseguridad?
• Uso de algoritmos basados ​​en frecuencia (sin supervisión) para detectar ransomware: más detección de anomalías frente a ransomware – Hacia la ciencia de datos – Medio
• Cambiar la dimensión de los datos de entrada (esto suele ser un paso de preprocesamiento para facilitar los algoritmos de ML que vienen después): Más detección de anomalías frente a Ransomware – Hacia la ciencia de datos – Medio

No soy un tipo de inteligencia artificial, pero supongo que la ciberseguridad implica una actividad inusual en la que alguien intenta un “pirateo”.

Eso suena como una detección atípica, en cuyo caso agrupar todos los tipos de actividades ayudaría a detectar actividades inusuales.

Aprendizaje supervisado donde aprenderías a tu modelo. LO QUE es usual, para que pueda detectar actividades sospechosas y reportar que parece lo más probable.

Perdón por la respuesta básica, espero que esto ayude.