Un examen de la technologie de l’intelligence artificielle dans la sécurité du cyberespace

1. Introduction

En raison de la croissance explosive des réseaux informatiques actuels, le problème qui en découle est le nombre croissant de cyberattaques. Divers secteurs de notre société, des ministères gouvernementaux aux diverses infrastructures critiques de la société, dépendent fortement des réseaux informatiques et des technologies de l'information. Apparemment, ils sont également vulnérables aux cyberattaques. Les attaques réseau classiques désactivent l'ordinateur cible, mettent les services hors ligne ou accèdent aux données de l'ordinateur cible. Le nombre et l’impact des cyberattaques ont considérablement augmenté depuis les années 1990.

La cybersécurité fait référence à une série de technologies utilisées pour protéger les activités des appareils réseau et à des mesures pour les protéger de toutes les menaces possibles. Dans la technologie de sécurité réseau traditionnelle, la plupart d'entre eux sont une gestion d'accès statique, et le système de contrôle de sécurité protégera en fonction de définitions prédéfinies. Mais à mesure que le nombre d’attaques réseau augmente, de plus en plus d’attaques contournent ce mécanisme de protection, et les méthodes traditionnelles ne suffisent plus.

S’il n’y a pas suffisamment de technologies efficaces de sécurité des réseaux, la sécurité des entreprises, des pays et de la société sera menacée. Entre 2014 et 2015 seulement, il a fallu lutter contre un grand nombre de cybercrimes dans tout le pays, impliquant Target, Anthem, Blue Shield et de nombreuses autres sociétés. Les attaquants utiliseront les vulnérabilités des systèmes de sécurité ou exploiteront les vulnérabilités des infrastructures pour pénétrer dans les systèmes informatiques. Les méthodes traditionnelles ne suffisent plus dans l'environnement imprévisible d'aujourd'hui. Il faut d'abord empêcher les attaques de se produire.

Ce qui suit explore les besoins en matière de développement de technologies de sécurité des réseaux et explique de nombreuses technologies d'intelligence artificielle actuellement utilisées dans le domaine de la sécurité des réseaux. La deuxième partie donnera un bref aperçu de l'intelligence artificielle. La troisième partie présente la technologie de l'intelligence artificielle appliquée dans le domaine de la sécurité des réseaux. La quatrième partie présente en détail certaines méthodes de sécurité des réseaux basées sur l'intelligence artificielle. et fournit quelques suggestions pour le suivi. Des suggestions de travaux connexes possibles sont données.

2. Aperçu de l'intelligence artificielle

L'intelligence artificielle est un concept populaire au cours des dix dernières années. Après avoir été proposée pour la première fois en 1956, elle a été décrite comme une méthode de formalisation d’événements utilisant la logique numérique, également connue sous le nom d’intelligence artificielle.

L'intelligence artificielle utilise des algorithmes numériques complexes pour simuler la pensée humaine. La technologie de l'intelligence artificielle peut comprendre et apprendre diverses connaissances basées sur diverses informations contenues dans des événements. La perspective de la pensée peut être divisée en deux perspectives : la pensée, le processus de raisonnement et le comportement.

On constate que la méthode de l'intelligence artificielle se concentre davantage sur le comportement humain, en se concentrant sur les méthodes de représentation des connaissances et de raisonnement, puis en développant des agents intelligents. Les agents peuvent interagir avec divers autres agents et échanger des connaissances mutuelles. Le processus de recherche de solutions aux problèmes s'achève dans ce partage. Chaque agent est un système de prise de décision.

La théorie de la décision comporte deux aspects, diagnostique et prospectif. Jean Pomerol[1] et d'autres ont étudié que l'intelligence artificielle entretient de nombreuses relations avec le diagnostic, la représentation et l'enregistrement des connaissances humaines. En raison de l’incertitude liée à la prise de décision prospective, l’intelligence artificielle n’y prête pas suffisamment attention et ignore le raisonnement humain multi-attributs. Simon[2] et al. ont proposé un modèle de rationalité limitée pour reconnaître que les humains utilisent plusieurs critères à différents moments du processus de prise de décision. L’objectif de l’intelligence artificielle a toujours été de rechercher un nouveau type d’intelligence automatisée. Ce genre de réaction peut être comme celle des humains. Afin d’atteindre cet objectif, la machine doit apprendre avec précision, ce qui signifie qu’elle doit être entraînée via un algorithme d’apprentissage. Les méthodes d’intelligence artificielle s’appuient sur des algorithmes. De plus, même si l’algorithme ne s’améliore pas beaucoup, l’intelligence artificielle peut toujours effectuer un apprentissage par force brute en utilisant des méthodes de calcul à grande échelle et de big data.

L'intelligence artificielle a trois façons de fonctionner :

• Assistant Intelligence Améliore ce que les gens font déjà.
• L'intelligence augmentée permet aux gens de faire des choses qu'ils ne peuvent pas faire.
• Intelligence autonome C'est la caractéristique des machines agissant de manière autonome.

Concernant ces trois catégories, on peut conclure que l'intelligence artificielle est conçue pour résoudre certains des problèmes les plus difficiles et que la cybersécurité entre dans cette catégorie car les cyberattaques sont devenues très sophistiquées, potentiellement plus catastrophiques, et sont devenues un problème complexe dans espace.

3. Technologie d'intelligence artificielle dans la sécurité des réseaux

Cette partie décrira brièvement quelques algorithmes d'apprentissage de base dans le domaine de l'intelligence artificielle et présentera brièvement les branches de l'intelligence artificielle, telles que les systèmes experts, l'apprentissage automatique, et l'apprentissage profond et l'informatique bio-inspirée, etc., sont souvent utilisés dans le domaine de la sécurité des réseaux.

L'apprentissage expérientiel et la formation doivent être utilisés dans l'apprentissage automatique pour améliorer les performances des machines. Selon la définition donnée par Mitchel [3] : « Si la performance d'un programme informatique sur des tâches de type T (telles que mesurées par P) augmente avec l'expérience E, alors il peut apprendre un certain type de tâche à partir de l'expérience E T et de la performance. mesure P. « Actuellement, il existe trois algorithmes d'apprentissage pour les machines d'entraînement, définis comme suit :

Apprentissage supervisé : dans ce type d'apprentissage, il existe un processus de formation avec un grand ensemble de données étiquetées. L'ensemble de données peut être divisé en un ensemble de formation et un ensemble de test. Une fois l'ensemble de formation terminé, les données de l'ensemble de test sont utilisées à des fins de vérification. Les méthodes d'apprentissage utilisent généralement des mécanismes de classification ou des mécanismes de régression. Les algorithmes de régression génèrent des sorties ou des valeurs prédites basées sur un ou plusieurs nombres à valeurs continues en entrée. Les algorithmes de classification classent les données. Contrairement à la régression, les algorithmes de classification génèrent des sorties discrètes.

Apprentissage non supervisé : contrairement à l'apprentissage supervisé, l'apprentissage non supervisé utilise des données non étiquetées pour l'entraînement. Les algorithmes d'apprentissage non supervisé sont généralement utilisés pour regrouper des données, réduire la dimensionnalité ou estimer la densité des données.

Apprentissage par renforcement : Ce type d'algorithme est la troisième branche du machine learning et repose sur un système de récompense et de punition pour apprendre le meilleur comportement. L’apprentissage par renforcement peut être considéré comme une combinaison d’apprentissage supervisé et non supervisé. Convient aux situations où les données sont limitées ou où aucune donnée n'est fournie. [4]

La technologie de l'intelligence artificielle contient plusieurs sous-domaines, qui seront décrits ci-dessous :

• Système Expert (ES) : également connu sous le nom de système de connaissances. Il y a deux composants principaux : l'un est un ensemble de connaissances, qui est le cœur du système expert et contient l'expérience accumulée ; le deuxième composant est le moteur d'inférence, qui est utilisé pour raisonner sur les connaissances prédéfinies et trouver la réponse à la question donnée ; question. Selon le schéma de raisonnement, le système peut résoudre un raisonnement basé sur des cas ou sur des règles.
• Raisonnement basé sur des cas : ce type de raisonnement suppose que les solutions de cas problématiques passées peuvent être utilisées pour résoudre de nouveaux cas problématiques. Les nouvelles solutions seront évaluées en examinant des cas antérieurs de problèmes similaires, révisées si nécessaire, puis ajoutées à la base de connaissances, afin que de nouveaux problèmes puissent être continuellement appris et que la précision du raisonnement puisse être continuellement augmentée.
• Raisonnement basé sur des règles : ce type de raisonnement utilise les règles des experts pour résoudre des problèmes. Les règles se composent de deux parties, les conditions et les actions. Les problèmes sont analysés en deux étapes : d’abord évaluer les conditions, puis prendre les mesures appropriées. Contrairement au raisonnement basé sur des cas décrit ci-dessus, les systèmes basés sur des règles n'apprennent pas automatiquement de nouvelles règles ni ne modifient les règles d'apprentissage actuelles.

Les systèmes experts peuvent être utilisés pour des problèmes de prise de décision en matière de sécurité du cyberespace. Habituellement, lorsqu'un processus ou un logiciel tente de modifier les données d'un système de sécurité, le système expert l'évaluera pour vérifier s'il est malveillant. Les systèmes experts analysent généralement de grandes quantités de données modifiées dans un délai raisonnable. De cette manière, le système expert peut soutenir le travail ci-dessus grâce à une surveillance en temps réel. Lorsqu'un processus malveillant est détecté, le système expert génère des informations d'avertissement, puis les experts en sécurité peuvent choisir les mesures correspondantes en fonction des informations d'avertissement.

• Machine Learning (ML) : Selon la définition donnée par Arthur Samuel[5] : « Le Machine Learning est une méthode qui permet aux ordinateurs d'apprendre sans programmation explicite. Le Machine Learning nous fournit de tels systèmes qui découvrent et formalisent des données. » et apprendre à s'améliorer grâce à l'expérience. Le processus d'apprentissage commence par l'observation de données d'exemple pour observer des modèles dans les données de tâches et prendre de meilleures décisions à l'avenir. Fort de ces connaissances, le système peut voir davantage de propriétés d’exemples inédits.
• L'apprentissage automatique utilise des données statistiques pour extraire des informations, découvrir des modèles et tirer des conclusions. Cela est vrai même lorsque vous travaillez avec de grandes quantités de données. Les algorithmes d’apprentissage automatique peuvent être grossièrement divisés en trois catégories : l’apprentissage supervisé, l’apprentissage non supervisé et l’apprentissage par renforcement. Les algorithmes les plus couramment utilisés dans le domaine de la sécurité des réseaux comprennent : l'algorithme d'arbre de décision, la machine à vecteurs de support, l'algorithme bayésien, l'algorithme du K-plus proche voisin, la forêt aléatoire, l'algorithme de règles d'association, l'algorithme de clustering, l'analyse en composantes principales, etc.
• Deep Learning (DL) : également connu sous le nom d'apprentissage neuronal profond. Il utilise des données pour enseigner aux ordinateurs comment accomplir des tâches dont les humains sont généralement capables. DL inclut le ML, où les machines peuvent apprendre activement grâce à leur expérience et à leurs compétences sans intervention humaine.

L'apprentissage profond adopte le mécanisme de fonctionnement du cerveau humain et des neurones pour traiter les signaux. En construisant un réseau neuronal plus étendu pour l'entraînement, la précision et les performances du réseau neuronal continueront de s'améliorer. En raison de la quantité croissante de données créées quotidiennement, le deep learning est de plus en plus utilisé. L'un des avantages de DL par rapport à ML réside dans ses performances supérieures et ses résultats dans la formation au traitement face à de grandes quantités de données. Semblable à l’apprentissage automatique, l’apprentissage profond prend également en charge l’apprentissage supervisé, l’apprentissage non supervisé et l’apprentissage par renforcement. Les algorithmes d'apprentissage profond couramment utilisés dans le domaine de la sécurité des réseaux comprennent généralement : un réseau neuronal à action directe, un réseau neuronal convolutif, un réseau neuronal récurrent, un réseau antagoniste génératif, un réseau de croyance profonde, etc.

• Informatique bio-inspirée : il s'agit d'un ensemble d'algorithmes et de méthodes intelligents qui utilisent des caractéristiques comportementales biologiques pour résoudre un large éventail de problèmes complexes. Ce que crée l’intelligence artificielle traditionnelle, c’est l’intelligence, qui est démontrée par des machines et créée par des programmes. L’informatique d’inspiration biologique commence par un ensemble simple de règles et d’organismes simples, et ils correspondent étroitement à ces règles. En informatique bionique, les technologies suivantes sont les plus couramment utilisées dans le domaine de la sécurité des réseaux : algorithmes génétiques, stratégies évolutives, optimisation des colonies de fourmis, optimisation des essaims de particules, systèmes immunitaires artificiels, etc.

4. Technologie de sécurité du cyberespace basée sur l'intelligence artificielle

L'intelligence artificielle peut analyser de grandes quantités de données de manière efficace et précise en peu de temps. En exploitant l’historique des menaces, les systèmes basés sur l’IA peuvent en apprendre davantage sur les menaces passées et utiliser ces connaissances pour prédire des attaques similaires à l’avenir, même si leurs schémas ont changé. Pour ces raisons, l’IA peut être utilisée dans le cyberespace, l’IA peut détecter des changements nouveaux et significatifs dans les attaques, l’IA peut traiter le Big Data et les systèmes de sécurité de l’IA peuvent continuellement apprendre à mieux répondre aux menaces.

Cependant, l'IA présente également certaines limites, telles que : les systèmes basés sur l'IA nécessitent de grandes quantités de données, le traitement de ces énormes données prend beaucoup de temps et beaucoup de ressources, les fausses alarmes fréquentes sont un problème pour les utilisateurs finaux, retardant toute réponse requise. la réponse affectera l’efficacité. De plus, les attaquants peuvent attaquer les systèmes basés sur l’IA en insérant des entrées ennemies, en empoisonnant les données et en volant des modèles. Les scientifiques ont récemment identifié comment la technologie de l’intelligence artificielle peut être utilisée pour détecter, prévenir et répondre aux cyberattaques. Les types de cyberattaques les plus courants peuvent être divisés en trois grandes catégories :

• Exploitation de logiciels et identification malveillante :
• Exploitation de logiciels : il existe des vulnérabilités dans les logiciels, et il y aura toujours des vulnérabilités exploitables. Les attaquants utilisent ces vulnérabilités logicielles pour attaquer les applications logicielles sous-jacentes. Les vulnérabilités logicielles les plus courantes incluent : le dépassement d’entier, l’injection SQL, le dépassement de tampon, les scripts intersites, la falsification de requêtes intersites, etc. Ce serait une tâche complexe pour un humain de parcourir le code ligne par ligne. Mais si l’ordinateur apprend à vérifier, cela devrait être possible. Benoit Moral [6] décrit les manières dont l'intelligence artificielle peut contribuer à améliorer la sécurité des applications. Préconise l'utilisation de systèmes basés sur la connaissance, du raisonnement probabiliste et d'algorithmes bayésiens pour détecter les vulnérabilités logicielles.
• Identification des logiciels malveillants : il s’agit d’une méthode de cyberattaque courante de nos jours. Les virus malveillants actuellement populaires comprennent les virus, les vers et les chevaux de Troie. L’impact des virus malveillants sur le réseau et la société étant énorme, de nombreuses recherches ont été menées. Citant quelques études, par exemple, Chowdury[7] et al. définissent un cadre pour classifier et détecter les logiciels malveillants à l'aide de méthodes de classification d'exploration de données et d'apprentissage automatique ; H. Hashemi[8] et al. utilisent les K voisins les plus proches et prennent en charge les machines vectorielles comme Machine ; un classificateur d'apprentissage pour détecter les logiciels malveillants de localisation ; Y.Ye[9] et al. ont construit une architecture d'apprentissage profond pour détecter les logiciels malveillants intelligents ; N.McLaughlin[10] et al. ont utilisé un réseau neuronal convolutif profond pour identifier les logiciels malveillants ; et al. ont défini un nouvel algorithme d'apprentissage automatique appelé spin forest pour identifier les logiciels malveillants.
• Détection d'intrusion réseau :
• Déni de service (DoS) : ce type d'attaque se produit souvent lorsque des utilisateurs autorisés ne peuvent pas accéder aux informations, aux appareils ou à d'autres ressources réseau en raison des actions d'un attaquant. Sabah Alzahrani[12] et d'autres ont proposé un réseau neuronal artificiel distribué basé sur les anomalies et une méthode basée sur les fonctionnalités, appliquant deux méthodes de défense différentes.
• Système de détection d'intrusion (IDS) : ce système peut protéger les systèmes informatiques contre les événements anormaux ou les violations. En raison de la flexibilité et des capacités d’apprentissage rapide de la technologie de l’intelligence artificielle, elle convient au développement de systèmes de détection d’intrusion. W.L. Al-Yaseen[13] et d'autres ont combiné la machine à vecteurs de support et la nouvelle version de l'algorithme K-means pour créer un modèle adapté à l'IDS ; A.H. Hamamoto[14] et d'autres ont utilisé des algorithmes génétiques et une logique floue pour la détection des intrusions dans les réseaux. utilisé pour prédire le trafic réseau dans un intervalle de temps spécifié.
• Détection de phishing et de spam :
• Attaque de phishing : cette attaque tente de voler l'identité de l'utilisateur. Par exemple, on entend souvent parler d’attaques par force brute et d’attaques par dictionnaire. En réponse à ce type d'attaque, S.Smadi[15] et al. ont introduit un système de détection de phishing qui utilisait des réseaux neuronaux et des méthodes d'apprentissage par renforcement pour détecter les e-mails de phishing ; F.Feng[16] et al. Méthode de minimisation, utilisant des réseaux de neurones pour identifier les sites Web appelants.
• Détection du spam : fait référence aux e-mails non sollicités pouvant contenir un contenu inapproprié et pouvant entraîner des problèmes de sécurité. Feng et al. ont combiné des machines vectorielles de support et des algorithmes naïfs de Bayes pour filtrer le spam.

L'intelligence artificielle peut actuellement être utilisée dans divers domaines de la sécurité du cyberespace. Elle peut être utilisée pour analyser les données, détecter et répondre aux attaques, et peut également automatiser les processus, aidant les experts en sécurité des réseaux à analyser et à déterminer les méthodes et les mesures de défense contre les attaques réseau. . Certaines des méthodes les plus populaires actuellement sont la détection et la classification des menaces, la notation des cyber-risques, les processus automatisés et l'optimisation de l'analyse manuelle, entre autres.

5.Résumé

Les cybermenaces se développent rapidement et les cyberattaques deviennent de plus en plus sophistiquées, nécessitant de nouvelles méthodes plus puissantes et évolutives. On peut constater que les algorithmes actuels de sécurité des réseaux basés sur l’intelligence artificielle se concentrent principalement sur la détection des logiciels malveillants, la détection des intrusions sur le réseau, la détection du phishing et du spam, etc. La recherche a produit de bons résultats en combinant différentes technologies d’intelligence artificielle. Bien que le rôle de l’intelligence artificielle dans la résolution des problèmes du cyberespace soit actuellement inévitable, certains problèmes liés aux menaces et aux attaques basées sur l’intelligence artificielle doivent encore être résolus.

Références

[1] Jean-CharlesPomerol, "Intelligence artificielle et prise de décision humaine", European Journal of Operation Research, mars 1997, DOI : 10.1016/S0377-2217(96)00378-5 · Source : CiteSeer.

[2] Simon, H.A., "Reason in Human Affairs", Basil Blackwell, Oxford, 1983.

[3] Tom M. Mitchel, "Machine Learning", McGraw-Hill Science/Engineering / Math ; mars 1997, ISBN : 0070428077.

[4] Arulkumaran K, Deisenroth MP, Brundage M, et al., « Apprentissage par renforcement profond : une brève enquête. », IEEE SignalProcess Mag, 34(6):26 -. 38, 2017. https://doi.org/10.1109/MSP.2017. 2743240.

[5] Arthur L. Samuel, "Quelques études sur l'apprentissage automatique utilisant le jeu de dames", IBM Journal, novembre 1967.

[6] Benoit Morel, « L'intelligence artificielle, une clé pour l'avenir de la cybersécurité », dans les actes de la conférence AISec'11, octobre 2011, Chicago, Illinois, États-Unis.

[7] Chowdhury, M., Rahman, A., Islam, R., « Analyse et détection des logiciels malveillants à l'aide de l'exploration de données et de la classification de l'apprentissage automatique », dans Actes de la Conférence internationale sur les applications et techniques en matière de cybersécurité et de renseignement, Ningbo, Chine, 16-18 juin 2017. ; pp. 266-274.

[8] H. Hashemi, A. Azmoodeh, A. Hamzeh, S. Hashemi, « L'intégration de graphiques comme nouvelle approche pour la détection de logiciels malveillants inconnus », J. Comput Hacking Tech. . 2017, 13, 153-166.

[9] Y. Ye, L. Chen, S. Hou, W. Hardy, X. Li, "DeepAM : un cadre d'apprentissage profond hétérogène pour la détection intelligente des logiciels malveillants", Knowledge. Système d'information. 2018, 54, 265-285.

[10] N. McLaughlin, J. Martinez del Rincon, B. Kang, S. Yerima, P. Miller, S. Sezer, Y. Safaei, E. Trickel, Z . Zhao, A. Doupe, « Détection approfondie des logiciels malveillants Android », dans le procès-verbal de la septième ACM sur la sécurité et la confidentialité des données et des applications, Scottsdale, Arizona, États-Unis, 22-24 mars 2017, pp.301-308.

[11] H.J. Zhu, Z.H. You, Z.X. Zhu, W.L. Shi, X. Chen, L. Cheng, "Détection efficace et robuste des logiciels malveillants Android à l'aide d'une analyse statique avec un modèle de forêt de rotation", Neurocomputing 2018, 272, 638. - 646.

[12] Sabah Alzahrani, Liang Hong, « Détection des attaques par déni de service distribué (DDoS) utilisant l'intelligence artificielle sur le cloud », dans les actes de la conférence IEEE 2018, San Francisco, Californie, États-Unis, juillet 2018.

[13] W.L. Al-Yaseen, Z.A. Othman, M.Z.A. "Machine vectorielle de support hybride multi-niveaux et machine d'apprentissage extrême basée sur des moyens K modifiés pour le système de détection d'intrusion", Expert Syst 2017, 67, 296 -303.

[14] A.H. Hamamoto, L.F. Carvalho, L.D.H. Sampaio, T. Abrao, M.L. Proenca, "Système de détection d'anomalies de réseau utilisant un algorithme génétique et une logique floue", 2018, 92, 390-402.

[15] S. Smadi, N. Aslam, L. Zhang, « Détection des e-mails de phishing en ligne à l'aide d'un réseau neuronal évolutif dynamique basé sur l'apprentissage par renforcement », 2018, 107, 88-102.

. [ 16] F. Feng, Q. Zhou, Z. Shen, X. Yang, L. Han, J. Wang, « L'application d'un nouveau réseau neuronal à la détection de sites Web de phishing », Intelligent Humanizing Computation, 2018, 1 - 15.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!