Установлено, что не всегда антивирусы могут нас защитить. В исследовании 2012 года журналист по безопасности Брайан Кребс обнаружил, что основные антивирусы, которые использовались в то время, были эффективны примерно на 20%, то есть только одна из каждых пяти попыток заражения была зафиксирована и заблокирована!
С 2012 года по настоящее время было проведено несколько других исследований, чтобы продемонстрировать эффективность антивируса с использованием различных методологий и с разными результатами, показывающими, что антивирусы старого поколения эффективны более чем на 90%. Безусловно, хороший шаг вперед с 20% в 2012 году.
Возникающий сейчас вопрос связан с возможностями улучшения, предоставляемыми технологиями искусственного интеллекта.
Антивирусы более старого поколения в основном основаны на использовании элементов распознавания, характерных для уже выявленных инфекций, а именно:
- использование подписей, связанных с вредоносных программ. Речь идет о сравнении наличия одной или нескольких характеристик неизвестного программного обеспечения с характеристиками уже известного вредоносного программного обеспечения, например, определенной последовательности команд или определенной последовательности кода;
- эвристический анализ. Он основан на проверке похожих (но не идентичных) элементов между неизвестным программным обеспечением и семействами вредоносных программ. Этот метод основан на наблюдении, что многие вирусы похожи друг на друга, и то же самое можно сказать об их поведении;
- репутация файла. Он основан на категоризации известных файлов, а также на управлении и обмене информацией, доступной пользователям.
Все эти технологии явно основаны на знании и анализе вредоносных программ существующие, но обычно не очень полезны в случае новых вредоносных программ.
Чтобы быть эффективным на вредоносных программ новые концепции необходимы для развития других технологий, и искусственный интеллект может быть полезен.
Американская компания Deep Instinct со штаб-квартирой в Нью-Йорке, основанная в 2015 году, использует глубокое обучение для предотвращения атак из-за вредоносных программ все еще неизвестно и, похоже, идет по пути.
Давайте вместе попробуем разобраться, как это работает, и для этого воспользуемся схемой, доступной на их сайте.
На этом изображении можно увидеть архитектуру платформы на основе нейронной сети, расположенной в лаборатории Глубокий инстинкт (вверху) и представляет собой бьющееся сердце архитектуры безопасности. Нейронная сеть непрерывно обучается, и благодаря ей можно иметь всегда обновляемую прогнозную модель, которая называется D-мозг.
Модель прогнозирования развернута на всех клиентах, которые мы хотим защитить. Это позволяет выполнять статистический и поведенческий анализ и использовать все «знания», используемые для создания и обновления модели, как для идентификации вредоносных программ уже известно, но прежде всего для идентификации тех, кто еще не известен. Фактически, платформа подключена к базе данных (D-Cloud), которая включает информацию о репутации миллиардов файлов.
Понятно, что в такой системе необходимо, чтобы количество ложных срабатываний (обнаружение вредоносных программ когда это не так) должны поддерживаться на очень низком уровне, блокировка выполнения файла с поддержкой доброжелательности может быть не менее опасной, чем отказ от блокировки вредоносного файла.
Важно отметить, что проверка наличия банки вредоносных программ это делается в системном кеше, то есть до вредоносных программ может получить доступ к жесткому диску.
платформа Глубокий инстинкт является примером того, как ИИ может помочь миру кибербезопасности, предотвращая заражения до того, как они смогут заразить систему.
Для получения дополнительной информации:
- Насколько полезно антивирусное ПО? | Computerworld
- Более пристальный взгляд: атаки вредоносных программ по электронной почте - Кребс о безопасности
- Существующие доказательства эффективности антивируса в предотвращении киберпреступлений (gsu.edu)