Cybersicherheitsverteidiger erweitern ihre KI-Toolboxen

Wissenschaftler unternehmen einen entscheidenden Schritt zum Schutz von Computernetzwerken, indem sie eine Technologie der künstlichen Intelligenz namens Deep Reinforcement Learning (DRL) einsetzen.

Bei der Konfrontation mit anspruchsvollen Cyberangriffen in einer streng simulierten Umgebung ist tiefes Verstärkungslernen erforderlich verhindert effektiv, dass Gegner in 95 % der Fälle ihre Ziele erreichen. Die Testergebnisse lassen darauf hoffen, dass autonome künstliche Intelligenz eine Rolle bei der proaktiven Cyberabwehr spielen wird.

Wissenschaftler des Pacific Northwest National Laboratory (PNNL) des US-Energieministeriums dokumentierten ihre Ergebnisse in einem Forschungspapier, das am 14. Februar in Washington, D.C. vorgestellt wurde. Ihre Arbeit wurde auf der vorgestellt Symposium „Artificial Intelligence for Cybersecurity“ während der Jahrestagung der Association for the Advancement of Artificial Intelligence.

Ausgangspunkt des Projekts war die Entwicklung einer Simulationsumgebung zum Testen mehrstufiger Angriffsszenarien mit verschiedenen Arten von Gegnern. Die Schaffung einer solch dynamischen Angriffs- und Verteidigungssimulationsumgebung für Experimente ist eine Errungenschaft für sich. Die Umgebung bietet Forschern die Möglichkeit, die Wirksamkeit verschiedener KI-basierter Abwehrmaßnahmen in einer kontrollierten Testumgebung zu vergleichen.

Diese Tools sind entscheidend für die Bewertung der Leistung von Deep Reinforcement Learning-Algorithmen. Dieser Ansatz entwickelt sich zu einem leistungsstarken Entscheidungsunterstützungstool für Cybersicherheitsexperten. DRL ist ein Verteidigungsmodell mit der Fähigkeit zu lernen, sich an sich schnell ändernde Umgebungen anzupassen und autonome Entscheidungen zu treffen. Während andere Formen der künstlichen Intelligenz bisher der Standard zur Erkennung von Eindringlingen oder zum Filtern von Spam waren, erweitert Deep Reinforcement Learning die Fähigkeit von Verteidigern, bei täglichen Konfrontationen mit Gegnern sequentielle Entscheidungspläne zu koordinieren.

Deep Reinforcement Learning bietet intelligentere Netzwerksicherheit, die Möglichkeit, Änderungen in der Netzwerkumgebung früher zu erkennen und die Möglichkeit, präventive Maßnahmen zur Verhinderung von Cyberangriffen zu ergreifen.

Der Datenwissenschaftler Samrat Chatterjee, der die Arbeit des Teams vorstellte, sagte: „Ein wirksamer KI-Agent für Cybersicherheit muss auf den Informationen basieren, die er sammeln kann, und auf den Aktionen, die er durchführt.“ . Erkennen, analysieren, handeln und anpassen als Ergebnis von Entscheidungen „Deep Reinforcement Learning hat in diesem Bereich ein großes Potenzial, da die Anzahl der Systemzustände und optionalen Aktionen groß sein kann.“ Lernen (RL) und Deep Learning (DL) und eignet sich besonders für Situationen, in denen in komplexen Umgebungen eine Reihe von Entscheidungen getroffen werden müssen. So wie ein Kleinkind aus Stößen und Kratzern lernt, werden auf Deep Reinforcement Learning (DRL) basierende Algorithmen trainiert, indem gute Entscheidungen belohnt und schlechte bestraft werden: gute Entscheidungen, die zu wünschenswerten Ergebnissen führen, unterstützt durch positive Belohnungen (ausgedrückt als numerische Werte); Belohnungen, um schlechte Entscheidungen zu verhindern, die zu schlechten Ergebnissen führen.

Das Team erstellte eine benutzerdefinierte kontrollierte Simulationsumgebung, um vier Arten von Deep Reinforcement Learning zu bewerten, wobei das Open-Source-Software-Toolkit OpenAI Gym als Grundlage für Vor- und Nachteile diente von Algorithmen.

Es nutzt außerdem das von der MITRE Corporation entwickelte MITRE ATT&CK-Framework und kombiniert 7 Taktiken und 15 Techniken, die von drei verschiedenen Gegnern eingesetzt werden. Verteidiger sind mit 23 Schadensbegrenzungsmaßnahmen ausgestattet, um zu versuchen, das Fortschreiten des Angriffs zu stoppen oder zu blockieren.

Die Phasen eines Angriffs umfassen Aufklärung, Ausführung, Beharrlichkeit, Umgehung der Verteidigung, Befehl und Kontrolle, Sammlung und Filterung (wenn Daten aus dem Angriff übertragen werden). System) und andere Taktiken. Wenn der Gegner die letzte Filterstufe erfolgreich erreicht, wird der Angriff als gewonnen gewertet.

Chatterjee sagte: „Unser Algorithmus arbeitet in einem Wettbewerbsumfeld, das einen Wettbewerb mit Gegnern darstellt, die darauf abzielen, das System zu zerstören. Inszenierte Angriffe, in denen ein Der Gegner kann mehrere Angriffspfade verfolgen, die sich im Laufe der Zeit ändern können, wenn er versucht, von der Aufklärung zur Ausbeutung überzugehen. Unsere Herausforderung besteht darin, zu zeigen, wie Abwehrmaßnahmen, die auf tiefem Verstärkungslernen basieren, diesen Angriff verhindern können.“ und drei weitere Varianten zum Trainieren von Abwehragenten wurden anhand simulierter Daten über Netzwerkangriffe trainiert und dann an Angriffen getestet, die sie während des Trainings nicht beobachtet hatten.

DQN schneidet am besten ab:

Angriffe mit geringer Komplexität: DQN blockierte 79 % der Angriffe in der Mitte der Angriffsphase und 93 % der Angriffe wurden in der Endphase gestoppt.

Mäßig komplexe Angriffe: DQN blockierte 82 % der Angriffe in der Mittelphase und 95 % in der Endphase.

Der komplexeste Angriff: DQN blockierte 57 % der Angriffe in der Mitte und 84 % der Angriffe in der Endphase, viel mehr als die anderen drei Algorithmen.

Chatterjee sagte: „Unser Ziel ist es, einen autonomen Verteidigungsagenten zu schaffen, der die wahrscheinlichsten nächsten Schritte eines Gegners verstehen, sie planen und dann optimal reagieren kann, um das System zu schützen.“

Trotzdem Aufgrund des Fortschritts ist niemand bereit, die Cyberverteidigung vollständig den Systemen der künstlichen Intelligenz zu überlassen. Stattdessen müssen DRL-basierte Cybersicherheitssysteme mit Menschen zusammenarbeiten, sagte der ehemalige PNNL-Co-Autor Arnab Bhattacharya. „KI ist gut darin, sich gegen bestimmte Strategien zu verteidigen, aber nicht sehr gut darin, alle Ansätze eines Gegners zu verstehen. Wir sind noch weit davon entfernt, menschliche Cyber-Analysten zu ersetzen. Menschliches Feedback und Anleitung sind wichtig.“

Zu den Autoren des Workshoppapiers gehören neben Chatterjee und Bhattacharya auch Mahantesh Halappanavar von PNNL und der ehemalige PNNL-Wissenschaftler Ashutosh Dutta. Diese Arbeit wurde vom Office of Science des Energieministeriums finanziert, und einige der frühen Arbeiten, die diese spezifische Forschung vorantreiben, wurden vom PNNL-Programm „Artificial Reasoning Mathematics in Science“ im Rahmen des Laboratory Directed Research and Development-Programms finanziert.

Das obige ist der detaillierte Inhalt vonCybersicherheitsverteidiger erweitern ihre KI-Toolboxen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!