Besserer Schutz durch KI und Machine Learning

Machine Learning plus Signaturen

von - 05.10.2018
Bitdefender GravityZone
Bitdefender GravityZone: Die Endpoint-Lösung kann Vorkommnisse grafisch auswerten und so Attacken analysieren.
Beim Machine Learning werden Unmengen von Daten mit schädlichem Code mit Hilfe von Algorithmen ausgewertet und Elemente den Kategorien „gutartig“ oder „bösartig“ zugeordnet, um schneller Signaturen und Modelle daraus abzuleiten. Liviu Arsene, leitender Bedrohungsanalyst bei Bitdefender, beschreibt den Charme dieser Technik so: „War die Erkennung von Malware zuvor reaktiv, kann Machine Learning von vornherein komplett unbekannte Stämme von Malware abwehren. Damit gehen die Lösungen über die herkömmliche statische Analyse hinaus.“ Doch weil Signaturen und Modelle jeweils eigene Vor- und Nachteile haben, setzen die meisten Hersteller von Sicherheits-Software immer noch beide Techniken gleichermaßen ein.
Signaturen sind zwar sehr schnell verteilt, aber immer nur für einzelne Schädlinge gemacht. Und müssen viele Signaturen genutzt werden, steigt die zu verarbeitende Datenmenge in der Sicherheitslösung stark an. Mit ML trainierte Modelle dagegen sind relativ klein in der Datenmenge – und in der Lage, ganze Malware-Familien oder mutierten Code zu erkennen. Jedoch muss man die Modelle erst errechnen – was Zeit kostet. Hier ist eine Signatur eindeutig die schnellere Lösung.
Liviu Arsene
Liviu ArseneLeitender Bedrohungs­analyst Bitdefender
www.bitdefender.de
Foto: Bitdefender
„War die Erkennung von Malware zuvor reaktiv, kann Machine Learning von vornherein ­komplett unbekannte Stämme abwehren.“
Einige Anbieter sogenannter Next-Gen-Software setzen demgegenüber auf eine rein verhaltensbasierte Erkennung. Sie schmähen die Signatur-Technik als veraltet und sprechen nur noch von ML und KI. Einer dieser Anbieter wurde allerdings vor einigen Monaten dabei ertappt, wie er intern seine verhaltens­basierte Erkennung mit Daten verifizierte, die bereits über das Google-Portal Virus Total klassifiziert worden waren. Der kostenlose Online-Dienst Virus Total analysiert Daten durch eine Vielzahl von Antiviren-Programmen und Malware-Scannern.
Martin Grauel
Kommentar
Der Hype um KI fängt gerade an abzuebben
In den Medien wird maschinelles Lernen oft gehypt als eine Erscheinungsform der KI, jener KI, die wir aus diversen Filmen kennen. Und dies hat sicher mit dazu beigetragen, dass Unternehmen begonnen haben, sich für KI und maschinelles Lernen zu interessieren. Für die Hersteller war das quasi der Startschuss dafür, ihre Botschaft so eng wie möglich an dieses potenzielle Allheilmittel KI heranzubringen. Aber wie alle Hypes ist auch dieser dabei, wieder abzuebben, und die Hersteller beginnen deutlich realistischere Botschaften zu verbreiten.
Wir befinden uns gerade in einer Phase, in der Kunden mehr über KI und ML im Besonderen lernen. Und sie sind sehr viel aufgeschlossener, zuzuhören, was Technologien wie maschinelles Lernen tatsächlich können und welche Vorteile sie haben. Auch wenn das vielleicht nicht mehr ganz so aufregend ist wie es der Hype viele glauben gemacht hat.
Richtlinien wie die „New York State Department of Financial Services Part 500 Cybersecurity Regulation“ (auch bekannt als 23 NYCRR 500) raten bereits an, maschinelles Lernen und Lösungen zur Erkennung von Anomalien im Bereich risikobasierter Authentifizierung zu verwenden. Empfehlungen wie diese unterstreichen, dass es einen Bedarf für Lösungen gibt, die maschinelles Lernen einsetzen, und wir werden sicher in den kommenden Jahren weitere Anwendungen sehen. Aber wie gesagt – erst einmal muss der Hype um ML und KI enden, ehe man die wirklichen Vorteile von maschinellem Lernen erkennen kann.
Kunden sollten sich nicht scheuen, Hersteller direkt anzusprechen, die sich auf maschinelles Lernen in ihren Produkten berufen. Nur dann lässt sich herausfinden, ob die Lösung das bietet, wonach man konkret sucht. Ob sie in der Lage ist, bestehende Probleme zu adressieren und ob eine bestimmte Lösung zum Business-Case eines Unternehmens passt. An die Adresse der Hersteller gerichtet: Sie müssen die zugrunde liegende Technologie noch sehr viel transparenter vermitteln und genau beschreiben, wie die betreffende Lösung was tut. Weniger Hype, mehr Wahrheit, wenn es darum geht, wo wir im Augenblick sind, und wenn es an die konkreten Anwendungsbereiche geht.
Was wir gewöhnlich als Künstliche Intelligenz bezeichnen, ist in den allermeisten Fällen Narrow Artificial Intelligence (NAI). Maschinelles Lernen ist ein Bereich der NAI. NAI ist für ein ganz bestimmtes Problem, einen ganz bestimmten Anwendungsbereich entwickelt worden, und es sieht dann so aus, als wirke Intelligenz. Etwas komplett Neues lernen können solche Lösungen nicht. Das, was wir aus Filmen wie „Space Odyssey“ mit HAL 9000 kennen, würde in den Bereich der Artificial General Intelligence (AGI) fallen. Und die ist in dieser Form noch sehr weit von unserer Realität und den existierenden Technologien entfernt.
Seite
  1. Teil: Besserer Schutz durch KI und Machine Learning
  2. Teil: Machine Learning plus Signaturen
  3. Teil: Grenzen der ML-Technik
  4. Teil: Endpoint Detection and Response
  5. Teil: Im Gespräch mit Maik Morgenstern, CTO bei AV-Test
Verwandte Themen

Mehr zum Thema