Den sällsynta formen av maskininlärning som kan upptäcka hackare som redan har brutit sig in

Bild av Darktrace datorplattforms gränssnitt.

Bild av Darktrace datorplattforms gränssnitt. Darktrace





2013 märkte en grupp brittiska underrättelseagenter något konstigt. Medan de flesta ansträngningar för att säkra digital infrastruktur var fixerade på att blockera skurkar från att komma in, fokuserade få på det omvända: att hindra dem från att läcka ut information. Baserat på den idén grundade gruppen ett nytt cybersäkerhetsföretag som heter Darktrace.

Företaget samarbetade med matematiker vid University of Cambridge för att utveckla ett verktyg som skulle använda maskininlärning för att fånga interna intrång. Istället för att träna algoritmerna på historiska exempel på attacker, behövde de dock ett sätt för systemet att känna igen nya fall av avvikande beteende. De vände sig till oövervakad inlärning, en teknik baserad på en sällsynt typ av maskininlärningsalgoritm som inte kräver att människor specificerar vad de ska leta efter.

Bild av Darktrace datorplattforms gränssnitt.

Darktrace har nollställt en infekterad enhet som uppvisar avvikande beteende. Darktrace



'Det är väldigt mycket som människokroppens eget immunsystem', säger företagets co-VD Nicole Eagan. 'Hur komplicerat det än är, har det denna medfödda känsla av vad som är jaget och inte jaget. Och när den hittar något som inte hör hemma – det är inte jaget – har den en extremt exakt och snabb respons.'

De allra flesta maskininlärningsapplikationer är beroende av övervakad inlärning. Detta innebär att mata en maskin med enorma mängder noggrant märkt data för att träna den att känna igen ett snävt definierat mönster. Säg att du vill att din maskin ska känna igen golden retrievers. Du matar den hundratals eller tusentals bilder av golden retrievers och saker som inte är det, samtidigt som du uttryckligen berättar vilka som är vilka. Så småningom får du en ganska anständig golden-retriever-spotting-maskin.

Inom cybersäkerhet fungerar övervakat lärande ganska bra. Du tränar en maskin på olika typer av hot som ditt system har mött tidigare, och den jagar obevekligt efter dem.



Men det finns två huvudproblem. För det första fungerar det bara med kända hot; okända hot smyger sig fortfarande in under radarn. För en annan fungerar algoritmer för övervakad inlärning bäst med balanserade datamängder – med andra ord sådana som har lika många exempel på vad den letar efter och vad den kan ignorera. Cybersäkerhetsdata är mycket obalanserad: det finns mycket få exempel på hotfullt beteende begravda i en överväldigande mängd normalt beteende.

Bild av Darktrace datorplattforms gränssnitt.

En visualisering av alla anslutningar inom ett visst delnätverk. Darktrace

Lyckligtvis, där det övervakade lärandet vacklar, utmärker sig oövervakat lärande. Den senare kan titta på enorma mängder omärkta data och hitta de bitar som inte följer det typiska mönstret. Som ett resultat kan det uppstå hot som ett system aldrig har sett förut och behöver få onormala datapunkter för att göra det.



När Darktrace distribuerar sin programvara ställer den in fysiska och digitala sensorer runt klientens nätverk för att kartlägga dess aktivitet. Dessa rådata kanaliseras till över 60 olika oövervakade inlärningsalgoritmer som konkurrerar med varandra för att hitta avvikande beteende.

ETT OÖVERVAKAT UTRYMME

  • Flera andra företag har också konvergerat om att använda oövervakad inlärning för att förbättra digitala säkerhetssystem.

  • Shape Security

    Grundades 2011 av före detta försvarsexperter från Pentagon, och fokuserar på att förhindra falska kontogenerering eller kreditansökningsbedrägerier, bland andra skändliga aktiviteter. Shape Security kombinerar de kompletterande styrkorna hos både övervakade och oövervakade tekniker.



  • DataVisor

    Grundades 2013 av Microsoft alums och samarbetar med banker, sociala medier och e-handelsföretag för att bekämpa transaktionsbedrägerier, penningtvätt och andra storskaliga missbruk. DataVisor säger att det i första hand använder oövervakade tekniker.

Dessa algoritmer spottar sedan ut sin produktion i ytterligare en masteralgoritm som använder olika statistiska metoder för att avgöra vilken av de 60 som ska lyssna på och vilken av dem som ska ignoreras. All den komplexiteten är förpackad i en slutlig visualisering som gör det möjligt för mänskliga operatörer att snabbt se och reagera på troliga intrång. När människorna tar reda på vad de ska göra härnäst arbetar systemet med att sätta intrånget i karantän tills det är löst - genom att till exempel avbryta all extern kommunikation från den infekterade enheten.

Oövervakat lärande är dock ingen silverkula. När angripare blir mer och mer sofistikerade blir de bättre på att lura maskiner, oavsett vilken typ av maskininlärning de använder. 'Det finns det här katt-och-mus-spelet där angripare kan försöka ändra sitt beteende', säger Dawn Song, expert på cybersäkerhet och maskininlärning vid University of California, Berkeley.

Som svar har cybersäkerhetsgemenskapen vänt sig till proaktiva tillvägagångssätt – 'bättre säkerhetsarkitekturer och -principer så att systemet blir säkrare genom konstruktion', säger hon. Men det är fortfarande en lång väg att helt utrota alla intrång och bedrägliga metoder. När allt kommer omkring, tillägger hon, är 'hela systemet lika säkert som dess svagaste länk.'

Dölj