Aa Aa Aa

Искусственный интеллект и машинное обучение применяются в системах обнаружения вторжений в сетях Интернета вещей

Романов Роман
Искусственный интеллект и машинное обучение применяются в системах обнаружения вторжений в сетях Интернета вещей

Искусственный интеллект позволяет адаптировать системы обнаружения вторжений к сетям Интернета вещей, которые было сложно покрыть традиционными альтернативами.

В последнее время устройства Интернета вещей (IoT) все чаще подвергаются атакам, создавая дополнительные точки входа и выхода для любых систем, в которых они используются.

Тем не менее, как правило, традиционные системы обнаружения вторжений (IDS) в основном основаны на правилах, и они не могут справиться с возникающими угрозами, которые постоянно запускаются через устройства IoT, с них и против них, - говорит Ребекка Херольд, член IEEE, генеральный директор и основатель консалтинговой компании Privacy Professor.

«Что касается IoT, IDS должна не только отслеживать само устройство IoT, но и выявлять угрозы со стороны других компонентов, связанных с полным продуктом IoT», - говорит эксперт.

Таким образом, IDS необходимо будет рассматривать в качестве потенциальных источников вторжений следующее: внутренние системы IoT, такие как поддерживающие облачные сервисы, а также мобильные приложения, взаимодействующие с устройством IoT, локальным концентратором и, возможно, другими удаленными центрами в рамках Интернета вещей.

IDS на основе правил и IDS на основе ИИ для обнаружения атак IoT

IDS на основе правил будет искать известное поведение атак и предупреждать о них (например, стандартные IDS на основе сигнатур), в то время как IDS на основе искусственного интеллекта (ИИ) будет искать отклонения от модели поведения, полученной с помощью алгоритмов ИИ, говорит Ариэль Цейтлин, соавтор, основатель и технический директор Guardicore.

Однако, по словам Джеймисона Аттера, старшего директора по продвижению продуктов и решений Ordr, подходы, основанные на правилах, всегда терпят неудачу в IoT, поскольку у нас очень мало атак, которые нужно исследовать.

«Эта область настолько нова, что до сих пор мы наблюдаем парольные атаки и несколько специализированных промышленных атак», - говорит эксперт. «Все угрозы Интернета вещей будут и должны рассматриваться как «неизвестные», и машинное обучение (МО) - способ их обнаружить. Хорошая новость заключается в том, что устройства детерминированы в том смысле, что они действуют и выполняют одни и те же задачи, одинаково каждый день - в противном случае они выходят из строя. Поэтому это фантастическое приложение для технологий ИИ/МО».

Как IDS на основе AI работают для обнаружения атак Интернета вещей?

По словам Херольд, IDS на основе ИИ находятся в начальном состоянии и в целом, безусловно, все еще являются новым типом продуктов для защиты Интернета вещей.

«Что делает IDS на основе ИИ привлекательным вариантом, так это то, что ИИ может быть более гибким и эффективным в широком диапазоне экосистем, в которых используются устройства IoT», - сказала она. «Например, в чрезвычайно масштабируемых киберфизических системах, где имеется множество устройств IoT, которые могут подключаться и отключаться от экосистемы в любой момент времени, и где непрерывный анализ данных выполняется во всей сложной глобальной сети».

По словам Скотта Лалиберте, управляющего директора группы новых технологий Protivit, IDS на основе правил ищет в трафике определенные сигнатуры или набор шаблонов, например, конкретную команду, ключевые слова и/или шаблоны трафика.

По его словам, IDS на основе ИИ/МО пытается изучить/сравнить нормальные или типичные формы сетевого трафика, генерируемого устройствами IoT, и выявить аномалии на основе алгоритмов и отклонений от этих нормальных или типичных форм трафика.

Действует ли конкретное устройство иначе, чем обычно, или отличается от своей группы одноранговых устройств? Схожа ли комбинация действий или атак с другими атаками или указывает на то, что возможная атака может развиваться?

«IDS на основе ИИ/МО может быть очень эффективной при правильной разработке, но для этого требуются надежные алгоритмы, хорошие наборы данных для обучения и опыт для настройки и улучшения модели», - говорит Лалиберте. «Методы на основе ИИ/МО требуют настройки операторами, чтобы сделать их ценными».

По словам Цейтлина, IDS на основе ИИ обычно пытается создать модель нормального поведения подключенных устройств, а затем обнаруживать отклонения от этого поведения. В частности, он может попытаться идентифицировать устройства, снимая с них отпечатки в сети, а затем выявляя отклонения от типичного поведения таких устройств в реальном мире.

sistema-ids-viyavlyaie-ataki-na-rozumni-domashni-pristroi.jpg (90 KB)

Преимущества применения IDS на основе искусственного интеллекта для обнаружения атак Интернета вещей

Системы IDS на основе искусственного интеллекта превосходят по своей способности определение угрозы автономно, что обычно это делается с помощью моделей машинного обучения. По словам Чака Эверетта, директора Deep Instinct по защите кибербезопасности, их уровень точности может варьироваться от 80 до 90 процентов.

«Глубокое обучение, продвинутое подмножество машинного обучения, может повысить рейтинг точности до 99% при правильном решении для предотвращения атак», - говорит эксперт. «При правильном подходе глубокое обучение может мыслить, как человеческий разум, и принимать решения за миллисекунды, решая, является ли файл или сетевой поток вредоносным или безопасным».

По словам Херольд, использование надежно спроектированной и тщательно протестированной IDS на основе ИИ может помочь выявить признаки возможных вторжений через скомпрометированные IoT-устройства или атак, запускаемых с них, раньше, чем IDS предыдущих поколений. Затем это может помочь остановить повсеместный доступ через цифровые экосистемы, в которых находятся скомпрометированные устройства IoT.

«IDS на основе искусственного интеллекта также может помочь защите действовать быстрее, чтобы замедлить злоумышленников», - сказала она. «Хорошо спроектированные инструменты на основе ИИ могут автоматизировать обнаружение атак на перефирии сети, а также атак, запускаемых изнутри цифровых экосистем».

Проблемы с применением IDS на основе искусственного интеллекта для обнаружения атак Интернета вещей

По словам Лалиберте, проблемы при разработке и развертывании IoT IDS на основе ИИ/МО заключаются в том, насколько рано мы находимся в цикле зрелости IoT, и в несовместимых архитектурах реализации, которые могут затруднить эффективное использование IDS на основе ИИ.

«Несоблюдение протоколов и стандартов в IoT затрудняет разработку эффективного ИИ и сбор достаточных наборов данных для обучения моделей» сказал эксперт.

Кроме того, спрос на IoT IDS все еще развивается. По словам Лалиберте, у многих организаций нет даже общего управления или прозрачности IoT, развернутого в их среде, не говоря уже о развертывании специально созданных IoT IDS для защиты.

По его словам, Protivit советует организациям осознать, что IoT необходимо управлять и обеспечивать безопасность, как и в случае с традиционными ИТ. Во многих случаях правильное управление IoT может быть даже большим риском для организации, чем традиционные ИТ, из-за потенциальных воздействий на здоровье и безопасность, если что-то пойдет не так.

«Пока организации не осознают это и не сосредоточатся на безопасности IoT, спрос на IoT IDS может быть недостаточно большим, чтобы подпитывать и финансировать обширные исследования и разработки, необходимые для быстрого развития IoT IDS», - говорит Лалиберте.

По словам Херольд, некоторые могут возразить, что было проведено много исследований и проведена работа по постоянному совершенствованию инструментов IDS на основе ИИ, которые используются в экосистемах с работающими продуктами IoT. Однако верно и то, что продукты IoT также обновляются, новые устройства и продукты IoT постоянно выводятся на рынок.

По материалам: Iotworldtoday