Les défenseurs de la cybersécurité élargissent leurs boîtes à outils d’IA

Les scientifiques franchissent une étape cruciale vers la protection des réseaux informatiques en utilisant une technologie d'intelligence artificielle appelée Deep Reinforcement Learning (DRL).

Face à des cyberattaques complexes dans un environnement simulé rigoureux, l'apprentissage par renforcement profond empêche efficacement les adversaires d'atteindre leurs objectifs dans 95 % des cas. Les résultats des tests laissent espérer que l’intelligence artificielle autonome jouera un rôle dans la cyberdéfense proactive.

Des scientifiques du Pacific Northwest National Laboratory (PNNL) du Département américain de l'énergie ont documenté leurs conclusions dans un document de recherche présenté lors de la conférence sur l'intelligence artificielle sur la cybersécurité le 14 février lors de la réunion annuelle de l'Association pour l'avancement de l'intelligence artificielle à Washington. , DC. Leurs travaux ont été présentés au Symposium sur le renseignement.

Le point de départ du projet était de développer un environnement de simulation pour tester des scénarios d'attaque en plusieurs étapes impliquant différents types d'adversaires. Créer un tel environnement dynamique de simulation d’attaque et de défense pour les expériences est une réussite en soi. Cet environnement offre aux chercheurs un moyen de comparer l’efficacité de différentes défenses basées sur l’IA dans un environnement de test contrôlé.

Ces outils sont cruciaux pour évaluer les performances des algorithmes d'apprentissage par renforcement profond. Cette approche devient un puissant outil d’aide à la décision pour les experts en cybersécurité. Le DRL est un modèle de défense capable d’apprendre, de s’adapter à des environnements en évolution rapide et de prendre des décisions autonomes. Alors que d’autres formes d’intelligence artificielle constituaient auparavant la norme pour détecter les intrusions ou filtrer le spam, l’apprentissage par renforcement profond élargit la capacité des défenseurs à coordonner des plans de prise de décision séquentiels lors de confrontations quotidiennes avec des adversaires.

L'apprentissage par renforcement profond offre une cybersécurité plus intelligente, la capacité de détecter plus tôt les changements dans l'environnement réseau et la possibilité de prendre des mesures préventives pour contrecarrer les cyberattaques.

Samrat Chatterjee, un data scientist qui a présenté le travail de l'équipe, a déclaré : « Un agent d'IA de cybersécurité efficace doit détecter, analyser, agir et s'adapter en fonction des informations qu'il peut collecter et des résultats des décisions qu'il prend. » "L'apprentissage par renforcement profond a un énorme potentiel dans ce domaine car le nombre d'états du système et d'actions facultatives peut être important."

DRL combine l'apprentissage par renforcement (RL) et l'apprentissage profond (DL) et est particulièrement adapté aux applications où A. situation dans laquelle une série de décisions sont prises dans un environnement complexe. Comme un tout-petit qui apprend des chocs et des égratignures, les algorithmes basés sur l'apprentissage par renforcement profond (DRL) sont formés en récompensant les bonnes décisions et en punissant les mauvaises : de bonnes décisions qui conduisent à des résultats souhaitables soutenues par des récompenses positives (exprimées sous forme de valeurs numériques) ; pour décourager les mauvais choix qui conduisent à de mauvais résultats.

En utilisant la boîte à outils logicielle open source OpenAI Gym comme base, l'équipe a créé un environnement de simulation contrôlé personnalisé pour évaluer les forces et les faiblesses de quatre algorithmes d'apprentissage par renforcement profond.

Utilise également le framework MITRE ATT&CK développé par MITRE Corporation, et combine 7 tactiques et 15 techniques déployées par trois adversaires différents. Les défenseurs sont équipés de 23 mesures d’atténuation pour tenter d’arrêter ou d’empêcher la progression de l’attaque.

Les phases d'attaque comprennent des tactiques telles que la reconnaissance, l'exécution, la persistance, l'évasion de la défense, le commandement et le contrôle, la collecte et le filtrage (lorsque les données sont transférées hors du système). Si l’adversaire atteint avec succès l’étape finale de filtrage, l’attaque est enregistrée comme gagnante.

Chatterjee a déclaré : « Notre algorithme fonctionne dans un environnement compétitif, qui est une compétition avec l'intention de l'adversaire d'endommager le système. Il s'agit d'une attaque en plusieurs étapes dans laquelle l'adversaire peut poursuivre plusieurs voies, ces voies. peuvent changer au fil du temps à mesure qu'ils tentent de passer de la reconnaissance à l'exploitation. Notre défi est de montrer comment les défenses basées sur l'apprentissage par renforcement profond peuvent bloquer cette attaque. basés sur quatre algorithmes d'apprentissage par renforcement profond : DQN (Deep Q-Network) et trois autres variantes, ont été formés sur des données simulées sur les cyberattaques, puis ont testé ce qu'ils ont fait lors de la formation sur les attaques observées.

DQN est le plus performant :

Attaques de faible complexité : DQN a bloqué 79 % des attaques à mi-chemin de la phase d'attaque et 93 % des attaques arrêtées lors de la phase finale.

Attaques moyennement complexes : DQN a bloqué 82% des attaques au milieu et 95% dans la phase finale.

L'attaque la plus complexe : DQN a bloqué 57% des attaques au milieu et 84% des attaques en phase finale, bien plus que les trois autres algorithmes.

Chatterjee a déclaré : « Notre objectif est de créer un agent de défense autonome capable de comprendre les prochains mouvements les plus probables d'un adversaire, de les planifier, puis de réagir de la meilleure façon pour protéger le système. »

Malgré Malgré les progrès réalisés, personne n’est prêt à laisser la cyberdéfense entièrement aux systèmes d’intelligence artificielle. Au lieu de cela, les systèmes de cybersécurité basés sur les DRL doivent fonctionner en collaboration avec les humains, a déclaré Arnab Bhattacharya, ancien co-auteur du PNNL. "L'IA est efficace pour se défendre contre des stratégies spécifiques, mais pas très bonne pour comprendre toutes les approches qu'un adversaire pourrait adopter. Nous sommes encore loin du stade où l'IA remplacera les cyberanalystes humains. Les commentaires et les conseils humains sont importants."

En plus de Chatterjee et Bhattacharya, les auteurs du document de l'atelier incluent Mahantesh Halappanavar du PNNL et l'ancien scientifique du PNNL Ashutosh Dutta. Ce travail a été financé par l'Office of Science du ministère de l'Énergie, et certains des premiers travaux à l'origine de cette recherche spécifique ont été financés par le programme Mathématiques du raisonnement artificiel en science du PNNL par le biais du programme de recherche et développement dirigé par le laboratoire.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!