Beheer

Security
ai

Sophos bestrijdt malware met deep learning

Deep learning nieuw wapen in strijd tegen cybercrime. Maar ook crimineel kan het gebruiken.

ai © CC0: Pixabay.com,  geralt
5 februari 2018

Deep learning nieuw wapen in strijd tegen cybercrime. Maar ook crimineel kan het gebruiken.

Sophos heeft een nieuwe versie van Intercept X uitgebracht, die voor malwaredetectie gebruik maakt van deep learning. Dat moet voor veel betere detectie zorgen en zeer lage percentages false positives. Maar wat doet het voor security beter dan 'gewone' AI?

Veel beveiligingsoplossingen werken al met AI-technieken maar deep learning is nog tamelijk schaars in dergelijke producten. Sophos baseert zich in dit product op deep learning-technologie die is ontwikkeld door Invincea, dat Sophos vorig jaar heeft overgenomen. Hun product X by Invencea maakte al gebruik van deep learning-algoritmes voor het monitoren van netwerken op verdacht gedrag.

Intercept X speurt volgens Sophos nu met behulp van deep learning naar malware en ongewenste applicaties. Nu nog vertrouwen veel van dergelijke producten op handtekeningen (signatures) maar dat is bijna ondoenlijk aan het worden. Kris Hagerman, CEO van Sophos wijst er op dat het bedrijf dagelijks 300.000 malware-samples aantreft binnen het netwerk van zijn eigen gebruikers. “Daarbij gaat het om 100 miljoen endpoints van gebruikers. Dat is wel heel veel informatie om te verwerken. Met deep learning kun je veel sneller al die data verwerken met een beter resultaat dan ‘gewone’ AI.”

Murray stelt dat het een illusie is dat cybercrime – net als ‘fysieke’ misdaad – uitgeroeid zal worden. “Wij als leveranciers van beveiligingsproducten moeten in de strijd tegen cybercrime ervoor zorgen dat onze producten minstens zo goed, creatief en effectief zijn als die van de criminelen. En een van de spannendste ontwikkelingen daarvoor is AI. Zeker als je deep learning kunt gebruiken in je cybersecurity, kun je flinke stappen maken in effectiviteit van je product.” AI maakt het al mogelijk om zeer snel enorme hoeveelheden data te verwerken en vrijwel real time te reageren op mogelijke bedreigingen, ook als die in die vorm nog nooit zijn gedetecteerd.

Overtreffende trap

Deep learning, de overtreffende trap van machine learning, werkt ongeveer zoals het menselijk brein: vanuit een breed overzicht van veel data, zoomt het steeds preciezer in. Hagerman: “Daarmee kun je veel sneller en met een veel beter resultaat data verwerken.Je profiteert dan van buitengewoon grote hoeveelheden data. En dat kan steeds sneller, naarmate deep learning langer wordt gebruikt. Je kunt dreigingen herkennen die niet eerder zijn opgemerkt. Maar de grotere snelheid is ook van zeer groot belang. Zodra cybercriminelen een gat in de verdediging hebben gevonden, slaan ze razendsnel toe. Het is een race en hoe sneller jij als beveiliger op kunt treden, hoe meer schade je kunt voorkomen. En als daar dan veel minder mensen aan te pas komen, kun je meer snelheid maken want overleg kost tijd. Het gaat dus om snelheid, accuraatheid en de mogelijkheid om te kunnen voorspellen en dus te anticiperen op aanvallen."

Sophos richt zich op het middensegment: bedrijven met maximaal 5000 werknemers, hoewel 20 procent van zijn klanten groter is. Hoeveel indruk maakt het op hen dat Intercept X wordt uitgebreid met deep learning-technologie? “Bij de introductie vorig jaar van de eerste versie van Intercept X twijfelden we van tevoren of klanten en partners wel zouden zien hoe innovatief en geweldig het was. En ja, ze snappen niet hoe het werkt, maar wel dát het werkt. En dat is wat voor hen telt. Als een product werkt en doet wat het moet doen en dat het dan ook nog zo makkelijk mogelijk in gebruik en beheer is, dan is het voor hen prima. En nu krijgen ze er een turbo charge bij met deep learning.”

McAfee ook

Beveiliger McAfee maakt al een paar jaar gebruik van AI in zijn producten en werkt ook aan de toepassing van deep learning hierin. Daarbij gaat het onder meer om de analyse van het almaar groeiende aantal logs en om eenvoudige modellen.

Christiaan Beek, lead scientist bij McAfee: “Security produceert tonnen aan data. Dat is voor een mens niet meer te verwerken. AI is een middel om daarbij te helpen bij de scheiding van data: wat is wel verdacht en wat niet. Neem bijvoorbeeld viruscode. Via machine learning kun je snel bepalen of code een virus is of niet. Maar dan moet het systeem wel eerst een model leren waarmee bekeken kan worden of de code de eigenschappen van een virus bevat of niet. Dat kan met een sterk algoritme dat dit kan bepalen. Deep learning gaat verder. Een voorbeeld is hoe je kunt bepalen of iets een hond of een kat is. Bij machine learning geef je de eigenschappen aan de hand waarvan dat bepaald kan worden. Bijvoorbeeld: heeft het snorharen of niet? Deep learning gaat verder. Bij deep learning leert het systeem zelf wat het verschil is tussen een kat en een hond. Het kijkt naar de uiterlijke vorm van iets, op dezelfde manier als een mens kijkt. Er worden meerdere lagen gebruikt om te beoordelen. Bij deep learning kan het systeem zeggen of het een hond is of een kat nadat het zeg 100.000 plaatjes heeft bekeken. Het kan zelf veel langer doorgaan. Bij beveiliging kun je machine learning gebruiken om virussen te classificeren. Deep learning kun je daarbij gebruiken om aan de hand van netwerklogs te zien hoe mensen zich gedragen. Volgt het systeem je de hele dag dan herkent hij het gedragspatroon na een week. Zou een hacker inbreken, dan ziet het systeem dat er sprake is van afwijkend gedrag en meldt dan dat er iets niet klopt.”

Beek wijst er ook op dat de ‘vijand’ AI en deep learning kan gebruiken om detectie te vermijden. “Ik stel me zo voor dat een tegenstander onze modellen zou kunnen onderzoeken. En dat die dan uitvindt hoeveel malafide bestanden ze kunnen sturen waarbij wij dit nèt niet herkennen.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.