Machine Learning

IT-Sicherheit durch Künstliche Intelligenz

4. Oktober 2016, 14:08 Uhr | Autor: Mirco Rohr / Redaktion: Axel Pomper

Bei KI denken viele an eine Sci-Fi-Welt, in der Roboter alles beherrschen. Doch schon heute verbessert KI unsere alltäglichen Technologien. Auch in der IT-Sicherheit kann sie helfen – es gibt zwar mehr "böse Buben" als gute Jungs, Machine Learning-Technologien sollen das aber wieder ausgleichen.

Bei Machine-Learning-Technologien sind Computer durch Algorithmen für maschinelles Lernen in der Lage, selbstständig Prognosen auf Grundlage von erhobenen Daten zu erstellen. Diese Technologie ist sehr effizient, insbesondere wenn es darum geht, täglich mit Millionen von bösartigen Dateien umzugehen. Denn wie eine AV-Test-Statistik belegt, müssen Sicherheitsexperten täglich mehr als 400.000 neue Schadprogramme prüfen. Herkömmliche Nachweisverfahren (signaturbasierte Systeme) sind hingegen nicht proaktiv. Zudem haben es Sicherheitsanbieter heute auch mit spezialisierten Services von Drittherstellern zu tun, die über Verschleierungsmechanismen Malware vor traditionellen AV-Systemen verstecken können.

Effizientere Malware-Analysen

Technologie-Firmen und Security-Anbieter suchen nach Möglichkeiten, um entsprechende Erkennungs- und Abwehrmechanismen in ihr Cybersecurity-Portfolio einzubauen. Dabei wird eine Reihe von Clustern und Klassifizierungs-Algorithmen eingesetzt, um schnelle und richtige Antworten auf wesentliche Fragen wie „Ist die Datei sauber oder böswillig?“ zu erhalten. Ist es beispielsweise erforderlich, eine Million Dateien zu analysieren, werden ähnliche Dateien in kleinere Gruppen (Cluster) eingeteilt. Dadurch müssen Sicherheits-Analysen nur eine Datei jedes Clusters untersuchen, das Ergebnis gilt dann für alle Dateien eines Clusters. Außerdem ist die Erkennungsrate von Malware durch Machine-Learning-Technologien deutlich höher als durch Menschen.

Eine effiziente Sicherheitslösung sollte auch vor Zero-Day-Angriffen schützen. Alle Machine-Learning-Technologien, die zur Erkennung von Malware eingesetzt werden, müssen angepasst werden, um möglichst wenige False Positives (im Idealfall keine) zu erreichen sowie eine Erkennungsrate, welche die bereits integrierte Detektions-Methode ergänzt. Zudem müssen sie auf große Datenmengen ausgelegt sein.

Das Grundprinzip des maschinellen Lernens ist es, Muster zu erkennen, die auf Erfahrungen basieren und Prognosen ermöglichen. Dadurch können Sicherheitslösungen auf neue, unsichtbare Cyber-Bedrohungen schneller reagieren als die heutigen automatisierten Erkennungssysteme. Die Technologie ist darüber hinaus dafür geeignet, besonders ausgeklügelte Angriffe abzuwehren, wie APTs, die versuchen, über einen möglichst langen Zeitraum unentdeckt zu bleiben.

Mensch versus Maschine

Durch die Kombination von Mensch und Maschine ist künstliche Intelligenz eine gute Cyber-Waffe, kann aber Cyber-Bedrohungen nicht allein bekämpfen. Denn Machine-Learning-Systeme können Fehlalarme auslösen, dann sind menschliche Entscheidungen notwendig, um diese Algorithmen „umzuschulen“.

Es ist wichtig, dass Maschinen und Cybersecurity-Experten zusammenarbeiten. Gleichzeitig müssen Forscher darauf achten, wie Algorithmen ausgeführt werden, welche davon besser sind und unter welchen Umständen sie modifiziert werden müssen, um bessere Ergebnisse zu liefern. Machine-Learning-Algorithmen können Malware-Bedrohungen bei einer großen Menge an intelligenten Daten deutlich besser bewerten als Menschen. Zudem sind sie in der Lage, Intrusions schneller aufzuspüren. Daher haben hybride Ansätze, bei denen maschinelles Lernen durch menschliche Analysten überwacht wird, bislang zu den besten Ergebnissen geführt.

In den nächsten Jahren wird maschinelles Lernen dazu beitragen, spezielle Nutzerprofile zu erstellen. Wenn eine Aktion oder ein Nutzerverhalten nicht mit vordefinierten Mustern übereinstimmt, erhält der Nutzer eine Benachrichtigung. Werden beispielsweise bestimmte Downloads innerhalb einer kurzen Zeit als verdächtig eingestuft, werden sie umgehend von einem menschlichen Experten analysiert.

Die Zukunft der künstlichen Intelligenz lässt sich nur schwer vorhersagen, Machine-Learning-Technologien in der IT-Sicherheit könnten allerdings eine Schlüsselrolle im Wettrüsten mit den Cyber-Kriminellen einnehmen.

Mirco Rohr ist Global Evangelist bei Bitdefender