نظام يتوقع 85% من الهجمات الإلكترونية باستعمال مبادئ الذكاء الصنعي

استمع على ساوندكلاود 🎧

تصنف أنظمة الأمن الحاسوبي اليوم في فئتين: بشرية أو آلية، وما يسمى بالحلول المقادة بالتحليل (analyst-driven solutions)، والتي تعتمد على القواعد التي تم أُنشئت من قبل الخبراء، وبالتالي فإن الهجمات التي لا تتطابق مع تلك القواعد لن يكون من الممكن التعرف إليها. بينما تعتمدُ منهجيات تعلم الآلة اليوم على «تحديد الحالات الشاذة» التي تعطي أمثلة إيجابية كاذبة (false positives)* أو غير صحيحة تخلق عدمَ تأكدٍ في النظام وينتهي الأمر بالتحقق من قبل البشر في جميع الأحوال.

ولكن ماذا لو كان هناك حل يمكن أن يدمج بين الفئتين؟ وكيف سيكون؟

في الواقع، أعلن باحثون في مختبر علوم الحاسوب والذكاء الصنعي (CSAIL) في معهد ماساتشوستس للتكنولوجيا "MIT" وشركة الأمن القائم على الذكاء الصنعي"PatternExعن البدء بتشغيل منصة الذكاء الصنعي (Analyst Intuition2 ) والتي يمكنها أن تتنبأ بالهجمات الإلكترونية أفضل بكثير من النظم الحالية وذلك من خلال دمج المدخلات من الخبراء باستمرار.

طرح الفريقُ ورقتَه البحثية عن النظام في المؤتمر الدولي "IEEE" الشهر الماضي حول أمن البيانات الكبيرة في مدينة نيويورك، ويقولون فيها أن بإمكان AI2 الكشف عن 85٪ من الهجمات، وهذا تقريباً أفضل بثلاث مرات من المعايير السابقة. تم اختبار النظام على 3.6 مليار قطعة من البيانات المعروفة باسم "log lines"، والتي أُنشئت من قبل الملايين من المستخدمين على مدى فترة ثلاثة أشهر.

للتنبؤ بالهجمات، يمسح AI2 البيانات ويقوم بالكشف عن أي نشاط مشبوه عن طريق تجميع البيانات في أنماط ذات معنى باستخدام تعلم الآلة غير الموجه، ثم يقدَّم هذا النشاط للمحللين الذين يؤكدون الأحداث التي هي عبارة عن هجمات فعلية، ويقدمون التغذية الراجعة للمجموعة التالية من البيانات.

يقول "Kalyan Veeramachaneni"، العالِمُ والباحث في "CSAIL" والذي طوّر AI2 مع "Ignacio Arnaldo" كبيرِ علماء البيانات في "PatternEx"، أنه يمكن اعتبار النظام محللاً ظاهريّاً يولّد نماذج جديدة باستمرار ويمكنه صقلها في بضع ساعات، وهذا يعني أن بامكانه تحسين معدلات الكشف بشكل كبير وسريع.

إنشاء أنظمة الأمن الحاسوبي التي تدمج بين الإنسان والمنهجيات القائمة على الحاسوب أمر صعب، وأحد أسباب ذلك هو تحدي توصيف البيانات لخوارزميات الأمن الحاسوبي. على سبيل المثال، لنفرض أنك ترغب في تطوير خوارزمية رؤية حاسوبية يمكنها أن تحددَ الأغراض في الصور بدقة عالية. توصيف البيانات لهذه الخوارزمية بسيط؛ تحتاج إلى بضعة متطوعين فقط لتسمية الصور هل هي «أغراض» أو «ليست أغراض»، ومن ثم تقدم هذه البيانات إلى الخوارزمية. ولكن من أجل الأمن الحاسوبي، الشخص العادي على مواقع التعهيد الجماعي مثل "Mechanical Turk"ببساطة لا يملك المهارة لإطلاق تسميات مثل هجمات الحرمان من الخدمات "DDOS" أو "exfiltration" أو غيرها، لذلك نحتاج إلى خبراء في الأمن الحاسوبي لتوصيف البيانات. وهذا يؤدي إلى مشكلة أخرى؛ الخبراء مشغولون، ولا يمكنهم أن يقضوا يومهم بمراجعة رزمة من بيانات تم الإبلاغ أنها مريبة!

من المعروف أن الشركات تتخلى عن الأنظمة التي تتطلب الكثير من العمل، وبالتالي فإن نظام تعلم الآلة الفعال يجب أن يكونَ قادراً على تحسين نفسه دون مساعدة الإنسان.

السلاح السري لـ"AI2" أنه يمزج بين ثلاثة أساليب تعلم غير خاضعة للرقابة، ويعطي بعد ذلك الأحداث النهائية للمحللين لتوصيفها. ومن ثم يبني نموذجاً موجهاً يمكن صقله باستمرار من خلال ما يسميه الفريق نظام تعلم مستمر النشاط (continuous active learning system). ففي اليوم الأول من التدريب، يختار AI2 الأحداث الـ200 الأكثر شذوذاً ويعطيها للخبير ويتحسن مع مرور الوقت ويصبح قادراً على تحديد الأحداث التي تعتبر هجمات فعلية أكثر وأكثر، وهذا يعني أنه في غضون أيام قد يقدم للمحلل 30 أو 40 حدثاً في اليوم لتوصيفها.

يقول "Nitesh Chawla"، بروفيسور علوم الحاسوب في جامعة نوتردام، بأن هذا النظام يجمع بين نقاط قوة حدس المُحلل «الخبراء» (analyst intuition) وتعلم الآلة، ويمكن أن يصبح خط الدفاع ضد هجمات مثل الاحتيال وإساءة استعمال الخدمة والاستيلاء على الحساب، والتي هي التحديات الرئيسية التي تواجهها نظم الأمن الحاسوبي اليوم.

ويقول الفريق أنه يمكن توسيع AI2 ليتعامل مع المليارات من الـ"log lines" في اليوم الواحد، وتحويل قطع البيانات إلى «خصائص» مختلفة أو أنواع منفصلة من السلوك التي تعدّ في نهاية المطاف «طبيعية» أو «غير طبيعية». وبالمزيد من الهجمات التي يقوم النظام بالكشف عنها والمزيد من التغذية الراجعة التي يتلقاها من المحلل سوف تتحسن دقة التنبؤات المستقبلية.

*أمثلة إيجيابية كاذبة:

كمثال على ذلك: فلنفرض أن لدينا نظامَ تعلمٍ تلقائي يقوم بتصنيف الهجمات إلى صنفين: «ضارة» و«غير ضارة»، حيث تم تدريبه على مجموعة من الهجمات الضارة «أمثلة إيجابية» وعلى مجموعة من الهجمات غير الضارة «أمثلة سلبية»، وقمنا بعد ذلك بإدخال مثال إيجابي لاختباره أي قطعة من البيانات الضارة. قام النظام بتصنيف هذه القطعة على أنها غير ضارة، هذا ما يُسمى بـ"Miss" أو تصنيف غير صحيح لأمثلة إيجابية.

المصدر: هنا