درباره علم یادگیری ماشین (ML)

چگونه یادگیری ماشین (ML) به امنیت سایبری می‌رسد

هوش مصنوعی (AI) به عنوان “تئوری و توسعه سیستم های کامپیوتری قادر به انجام وظایفی که معمولاً به هوش انسانی نیاز دارند” تعریف می شود. یادگیری ماشین (ML) یک زیر شاخه از علم هوش مصنوعی می باشد. آرتور ساموئل، اصطلاح ML را در سال 1959 به عنوان “زمینه مطالعه ای که به رایانه ها توانایی یادگیری بدون برنامه ریزی صریح را می دهد” ترویج داد.

در فرهنگ لغت کمبریج، ML یا همان یادگیری ماشین ، به عنوان «فرایندی که رایانه‌ها بدون نیاز به گرفتن دستورالعمل در قالب برنامه از اپراتور ، خودش روش انجام وظایف خود را با یادگیری از داده‌های جدید تغییر می‌دهند.» نامیده می‌شود. در واژگان آکسفورد، ML برای توصیف «استفاده و توسعه سیستم‌های رایانه‌ای که قادر به یادگیری و سازگاری بدون پیروی از دستورالعمل‌های صریح هستند، با استفاده از الگوریتم‌ها و مدل‌های آماری برای تحلیل و استنتاج از الگوهای موجود در داده‌ها» استفاده می‌شود.

به طور کلی، ML متکی بر مدل های ریاضی است که با تجزیه و تحلیل الگوها در مجموعه داده ها ساخته می شوند. سپس از این الگوها برای پیش بینی داده های ورودی جدید استفاده می شود. مشابه روشی که نتفلیکس برای سریال‌های تلویزیونی جدید توصیه می‌کند، بر اساس تجربیات تماشای قبلی، ML یکی از رویکردهای هوش مصنوعی و مبتنی بر سیستمی می باشد که می‌تواند از تجربه بیاموزد، و بر اساس آموخته‌ها رشد می کند.

کاربردهای یادگیری ماشین در امنیت سایبری

برای درک بهتر حملات سایبری قبلی و توسعه پاسخ‌های دفاعی مربوطه، ML می‌تواند در حوزه‌های مختلف امنیت سایبری برای افزایش فرآیندهای امنیتی استفاده شود و بدین ترتیب شناسایی سریع تهدیدات ، مقابله و اصلاحات دفاع بهتر برای تحلیلگران امنیتی آسان‌تر شود.

عناوین زیر تنها چند روش هستند که می توان از یادگیری ماشین برای کمک به امنیت استفاده کرد.

خودکارسازی وظایف :

یکی از مزایای بزرگ ML در امنیت سایبری ، ظرفیت آن برای خودکارسازی وظایف تکراری و وقت گیر، مانند تریاژ هوش تهدید ، تجزیه و تحلیل بدافزار، تجزیه و تحلیل لاگینگ های شبکه و ارزیابی آسیب پذیری است. با گنجاندن ML در گردش کار امنیتی، سازمان‌ها می‌توانند وظایف را بسیار سریع‌تر در مقایسه با ظرفیت انجام وظایف توسط کاربر انسانی انجام دهند. بدین ترتیب سریعا روی تهدیدات عکس العمل نشان داده و آن‌ها را اصلاح کنند. خودکارسازی فرآیندهای تکراری به این معنی است که مشتریان می توانند به راحتی، بدون تغییر نیروی انسانی مورد نیاز، مقیاس خود را افزایش یا کاهش دهند، در نتیجه هزینه ها در فرآیند کاهش می یابد.

روش خودکارسازی عملکردها از طریق ML گاهی اوقات به عنوان AutoML شناخته می شود. AutoML به معنای زمانی است که وظایف تکراری درگیر در توسعه خودکار می شوند تا به طور خاص به بهره وری تحلیلگران، دانشمندان داده و توسعه دهندگان کمک کنند.

تشخیص و طبقه بندی تهدید :

الگوریتم های یادگیری ماشین در برنامه های کاربردی وب ( اپلیکیشن ها ) برای شناسایی و پاسخ به حملات استفاده می شود. این الگوها را می توان با تجزیه و تحلیل مجموعه کلان داده (Big Data) به دست آمده از رویدادهای امنیتی و شناسایی الگوهای فعالیت های مخرب به دست آورد. ML به گونه ای عمل می کند که وقتی رویدادهای مشابه شناسایی می شوند، به طور خودکار توسط مدل آموزش دیده ML با آنها برخورد می شود.

به عنوان مثال، مجموعه داده برای تغذیه یک مدل یادگیری ماشین را می توان با استفاده از شاخص های سازش (IOC) ایجاد کرد. اینها می توانند به نظارت، شناسایی و پاسخگویی به تهدیدات در زمان واقعی کمک کنند. الگوریتم های طبقه بندی ML را می توان با استفاده از مجموعه داده های IOC برای طبقه بندی رفتار بدافزارها استفاده کرد.

نمونه ای از چنین رویکردی در گزارشی از Darktrace مشهود است، یک راه حل ایمنی سازمانی مبتنی بر ML، که ادعا می کند از حملات در طول بحران باج افزار WannaCry جلوگیری کرده است. به گفته دیوید پالمر، مدیر فناوری Darktrace، او در مورد باج افزاری که بیش از 200000  قربانی در 150 کشور گرفت ، گفت: “الگوریتم های ما حمله را در عرض چند ثانیه در یکی از شبکه های یکی از آژانس های NHS شناسایی کردند و این تهدید بدون آسیب رساندن به آن سازمان کاهش یافت.”

فیشینگ :

تکنیک‌های تشخیص فیشینگ سنتی به تنهایی فاقد سرعت و دقت کافی برای تشخیص و تمایز بین URL‌های بی‌ضرر و مخرب هستند. مدل‌های طبقه‌بندی URL پیش‌بینی‌کننده جدیدترین الگوریتم ML می‌توانند الگوهایی را شناسایی کنند که ایمیل‌های مخرب را نشان می‌دهند. برای انجام این کار، مدل‌ها بر روی ویژگی‌هایی مانند سرصفحه ایمیل، داده‌های متن ، الگوهای نقطه‌گذاری و موارد دیگر آموزش داده می‌شوند تا موارد مخرب‌ را از موارد بی‌ضرر متمایز کنند.

WebShell :

WebShell یک قطعه کد است که به طور مخرب در یک وب سایت بارگذاری می شود تا امکان دسترسی برای ایجاد تغییرات در فهرست اصلی وب سرور فراهم شود. WebShell به مهاجمان اجازه می دهد تا به پایگاه داده دسترسی پیدا کنند. که به نوبه خود، هکر یا مهاجم سایبری را قادر می سازد تا اطلاعات شخصی را جمع آوری کند. با استفاده از ML، یک رفتار سبد خرید عادی را می توان شناسایی کرد و مدل را می توان برای تمایز بین رفتار عادی و مخرب آموزش داد.

همین امر در مورد تجزیه و تحلیل رفتار کاربر (UBA) نیز صدق می کند، که یک لایه مکمل برای اقدامات امنیتی استاندارد تشکیل می دهد تا دید کامل را فراهم کند، خطرات حساب کاربری را شناسایی کند و فعالیت های مخرب یا غیرعادی داخلی را شناسی و کاهش دهد . اگر یک اقدام غیرمعمول روی دستگاهی در یک شبکه مشخص انجام شود، مانند ورود کارمندان در اواخر شب، دسترسی از راه دور ناسازگار، یا تعداد دانلودهای غیرمعمول ، به عملکرد  کاربر بر اساس الگوهای فعالیت، یک امتیاز ریسک داده می شود.

امتیازدهی ریسک شبکه :

استفاده از معیارهای کمی برای تخصیص امتیاز ریسک به بخش‌هایی از شبکه‌ها، به سازمان‌ها در اولویت‌بندی منابع کمک می‌کند. ML را می توان برای تجزیه و تحلیل مجموعه داده های حملات سایبری قبلی و تعیین اینکه کدام مناطق از شبکه ها بیشتر درگیر حملات خاص هستند استفاده کرد. این امتیاز می تواند به تعیین کمیت احتمال و شدت یک حمله با توجه به یک منطقه شبکه معین ، کمک کند. بنابراین، کمک به سازمان ها برای کاهش خطر قربانی شدن توسط حملات بیشتر از مزایای استفاده از ML  می باشد.

هنگام ساختن یک پروفایل تجاری ، باید رمزگشایی کنید که در صورت به خطر افتادن چه حوزه ای، کسب و کار شما نابود می شود. که می تواند یک سیستم مدیریت ارتباط با مشتری (CRM)، سیستم حسابداری و یا سیستم فروش شما باشد. هر شرکتی روش متفاوتی برای انجام امنیت دارد. و هنگامی که ویژگی های یک سازمان را درک کردید، می دانید که واقعاً از چه چیزی محافظت کنید. و اگر هک وجود داشته باشد، می دانید چه چیزی را در اولویت قرار دهید.

آینده ML :

ML یک ابزار قدرتمند است. یادآوری این نکته  که در حالی که فناوری در حال توسعه است و پیشرفت‌های هوش مصنوعی و ML با سرعت قابل توجهی در حال پیشرفت هستند، فناوری تنها به همان اندازه خوب یا بد است که ذهن تحلیلگرانی که آن را کنترل و استفاده می‌کنند.مهم است

همیشه بازیگران بدی وجود خواهند داشت که مهارت ها و فناوری خود را برای یافتن و بهره برداری از نقاط ضعف توسعه دهند. به همین دلیل است که ترکیب بهترین فناوری و فرآیندها با کارشناسان صنعت، برای شناسایی و پاسخگویی دقیق و سریع به تهدیدات سایبری بسیار مهم است.

By |2022-09-21T11:58:42+04:3030 شهریور 1401|Categories: امنیت شبکه|Tags: , , |0 Comments
Go to Top