Vastupidiselt sellele, mida olete lugenud, masinõpe (ML) ei ole magic pixie tolm. Üldiselt on ML hea kitsa ulatusega probleemide jaoks, kus on saadaval tohutud andmekogumid ja kus huvipakkuvad mustrid on väga korratavad või prognoositavad. Enamik turbeprobleeme ei vaja ML-i ega sellest kasu. Paljud eksperdid, sealhulgas inimesed aadressil Google, soovitage keerulise probleemi lahendamisel ammendage kõik muu lähenemisviise enne ML-i proovimist.
ML on laiaulatuslik statistiliste tehnikate kogu, mis võimaldab meil õpetada arvutit küsimusele vastust hindama isegi siis, kui me pole õiget vastust selgesõnaliselt kodeerinud. Hästi läbimõeldud ML-süsteem, mida rakendatakse õiget tüüpi probleemidele, võib avada teadmisi, mida muidu poleks olnud võimalik saavutada.
Edukas ML näide on loomuliku keele töötlemine
(NLP). NLP võimaldab arvutitel "mõista" inimkeelt, sealhulgas selliseid asju nagu idioomid ja metafoorid. Küberturvalisusel on paljuski samad väljakutsed kui keele töötlemisel. Ründajad ei pruugi kasutada idioome, kuid paljud tehnikad on analoogsed homonüümidega, sõnadega, millel on sama kirjapilt või hääldus, kuid erinev tähendus. Mõned ründaja tehnikad sarnanevad samuti toimingutega, mida süsteemiadministraator võib teha täiesti healoomulistel põhjustel.
IT-keskkonnad erinevad organisatsioonide eesmärgi, arhitektuuri, prioriseerimise ja riskitaluvuse poolest. On võimatu luua algoritme, ML-i või muid, mis käsitlevad üldiselt turvakasutusjuhtumeid kõigis stsenaariumides. Seetõttu ühendavad enamiku edukamate ML-i rakenduste turvalisuses mitu meetodit väga konkreetse probleemi lahendamiseks. Headeks näideteks on rämpspostifiltrid, DDoS-i või robotite leevendamine ja pahavara tuvastamine.
Prügi sisse, prügi välja
ML-i suurim väljakutse on teie probleemi lahendamiseks asjakohaste kasutatavate andmete kättesaadavus. Järelevalvega ML-i jaoks vajate suurt, õigesti märgistatud andmekogumit. Näiteks kassifotosid identifitseeriva mudeli koostamiseks treenite modelli paljudele kasside fotodele, millel on silt "kass", ja palju fotosid asjadest, mis ei ole kassid, millel on silt "mitte kass". Kui teil pole piisavalt fotosid või need on halvasti märgistatud, ei tööta teie mudel hästi.
Turvalisuses on tuntud järelevalve all oleva ML-i kasutusjuhtum allkirjata pahavara tuvastamine. Paljud lõpp-punkti kaitseplatvormi (EPP) müüjad kasutavad ML-i, et märgistada tohutul hulgal pahatahtlikke ja healoomulisi proove, koolitades mudelit selle kohta, kuidas pahavara välja näeb. Need mudelid suudavad õigesti tuvastada vältimatu mutatsiooni pahavara ja muud trikid, mille puhul faili muudetakse piisavalt allkirja eest kõrvalehoidmiseks, kuid see jääb pahatahtlikuks. ML ei ühti allkirjaga. See ennustab pahatahtlikkust mõne teise funktsioonikomplekti abil ja võib sageli tabada pahavara, mida allkirjapõhised meetodid ei tunne.
Kuid kuna ML-mudelid on tõenäosuslikud, on olemas kompromiss. ML võib tabada pahavara, mida signatuurid eiravad, kuid see võib ka tabada pahavara, mille allkirjad kinni püüavad. Seetõttu kasutavad kaasaegsed EPP tööriistad hübriidmeetodeid, mis ühendavad optimaalse katvuse saavutamiseks ML ja allkirjapõhised tehnikad.
Midagi, midagi, valepositiivsed
Isegi kui mudel on hästi koostatud, esitab ML väljundi tõlgendamisel täiendavaid väljakutseid, sealhulgas:
- Tulemuseks on tõenäosus.
ML-mudel väljastab millegi tõenäosuse. Kui teie mudel on loodud kasside tuvastamiseks, saate selliseid tulemusi nagu "sellest asjast on 80% kass". See määramatus on ML-süsteemidele omane omadus ja võib muuta tulemuse raskesti tõlgendatavaks. Kas 80% kassist piisab? - Mudelit ei saa häälestada, vähemalt mitte lõppkasutaja poolt. Tõenäosuslike tulemuste käsitlemiseks võivad tööriistal olla tarnija seatud läved, mis ahendavad need kahendtulemusteks. Näiteks võib kassi tuvastamise mudel teatada, et kõik, mis on üle 90% "kassist" on kass. Teie ettevõtte tolerantsus kassile võib olla kõrgem või madalam kui müüja määratu.
- Valenegatiivsed (FN)Tõelise kurjuse tuvastamise ebaõnnestumine on ML-mudelite, eriti halvasti häälestatud mudelite valus tagajärg. Meile ei meeldi valepositiivsed tulemused (FP), kuna need raiskavad aega. Kuid FP ja FN määrade vahel on omane kompromiss. ML-mudelid on häälestatud, et optimeerida kompromissi, seades esikohale "parima" FP-FN-i määra tasakaalu. Siiski on „õige” tasakaal organisatsioonide vahel erinev, sõltuvalt nende individuaalsetest ohu- ja riskihinnangutest. ML-põhiste toodete kasutamisel peate usaldama hankijaid, kes valivad teile sobivad läved.
- Hoiatuste triaaži jaoks pole piisavalt konteksti. Osa ML-maagiast on võimsate ennustavate, kuid suvaliste "funktsioonide" eraldamine andmekogumitest. Kujutage ette, et kassi tuvastamine oli suures korrelatsioonis ilmaga. Ükski inimene ei arutleks nii. Kuid see on ML-i mõte – leida mustreid, mida me muidu ei leiaks, ja teha seda ulatuslikult. Isegi kui ennustuse põhjus võib kasutajale teada saada, pole see hoiatustriaaži või intsidendile reageerimise olukorras sageli abi. Selle põhjuseks on asjaolu, et "funktsioonid", mis lõpuks määravad ML-süsteemi otsuse, on optimeeritud prognoosimisvõime jaoks, mitte turvaanalüütikute jaoks praktilise tähtsusega.
Kas mõne muu nimega "statistika" lõhnaks magusalt?
Lisaks ML-i plussidele ja miinustele on veel üks konks: mitte kõik "ML" pole tegelikult ML. Statistika annab teile teie andmete kohta mõned järeldused. ML ennustab andmeid, mida teil ei olnud, tuginedes teie olemasolevatele andmetele. Turundajad on entusiastlikult kinni haaranudmasinõpe” ja „tehisintellekt”, et anda märku mingist kaasaegsest, uuenduslikust ja kõrgtehnoloogilisest tootest. Siiski ei pöörata sageli tähelepanu sellele, kas tehnoloogia kasutab isegi ML-i, hoolimata sellest, kas ML oli õige lähenemisviis.
Niisiis, kas ML suudab kurja tuvastada või mitte?
ML suudab tuvastada kurjuse, kui "kuri" on täpselt määratletud ja kitsa ulatusega. Samuti võib see tuvastada kõrvalekaldeid eeldatavast käitumisest väga prognoositavates süsteemides. Mida stabiilsem on keskkond, seda tõenäolisemalt tuvastab ML anomaaliaid õigesti. Kuid mitte iga anomaalia pole pahatahtlik ja operaatoril pole alati reageerimiseks piisavalt konteksti. ML-i supervõime ei seisne mitte asendamises, vaid olemasolevate meetodite, süsteemide ja meeskondade võimaluste laiendamises optimaalse katvuse ja tõhususe saavutamiseks.
