Глубокое обучение, используемое для обмана хакеров

Группа компьютерных ученых в Университете Техаса в Далласе разработала новый подход для защиты от кибербезопасности. Вместо блокировки хакеров, они заманивают их внутрь.

Новый метод, разработанный под названием DEEP-Dig (DEcEPtion DIGging), заманивает хакеров на сайт-ловушку, чтобы компьютер мог изучить их тактику. Компьютер затем обучается с помощью этой информации, чтобы распознавать и останавливать будущие атаки.

Исследователи Университета Техаса в Далласе представили свою статью под названием «Улучшение детекторов вторжений за счет обмана», на ежегодной конференции по приложениям компьютерной безопасности в декабре в Пуэрто-Рико. Группа также представила «Автоматизация оценки киберобмана с помощью глубокого обучения» на Международной конференции системных наук в Гавайях в январе.

DEEP-Dig является частью все более популярной области кибербезопасности, называемой технологией обмана. Как следует из названия, эта область полагается на ловушки, установленные для хакеров. Исследователи надеются, что это сможет быть эффективно использовано для оборонных организаций.

Доктор Кевин Хэмлен является профессором компьютерных наук в Университете Техаса в Далласе.

«Есть преступники, пытающиеся атаковать наши сети все время, и обычно мы рассматриваем это как негативное явление», – сказал он. «Вместо блокировки их, может быть, мы должны рассматривать этих нападавших как источник бесплатного труда. Они предоставляют нам данные о том, как выглядят злонамеренные атаки. Это бесплатный источник очень ценных данных».

Этот новый подход используется для решения некоторых из основных проблем, связанных с использованием искусственного интеллекта (ИИ) для кибербезопасности. Одна из этих проблем заключается в том, что существует нехватка данных, необходимых для обучения компьютеров обнаруживать хакеров, и это вызвано проблемами конфиденциальности. Согласно Гбадебо Айоаде, лучшие данные означают лучшую способность обнаруживать атаки. Айоаде представил результаты на конференциях и сейчас является ученым-данным в компании Procter & Gamble Co.

«Мы используем данные от хакеров, чтобы обучить машину выявлять атаку», – сказал Айоаде. «Мы используем обман, чтобы получить лучшие данные».

Самый распространенный метод, используемый хакерами, заключается в том, чтобы начинать с более простых трюков и прогрессивно становиться более сложными, согласно Хэмлену. Большинство программ киберзащиты, используемых сегодня, пытаются сразу же нарушить работу нарушителей, поэтому техники нарушителей никогда не изучаются. DEEP-Dig пытается решить эту проблему, толкая хакеров на сайт-ловушку, полный дезинформации, чтобы техники могли быть наблюдаемы. Согласно доктору Латифуру Хану, профессору компьютерных наук в Университете Техаса в Далласе, сайт-ловушка кажется хакерам законным.

«Нападавшие будут чувствовать, что они успешны», – сказал Хан.

Кибератаки являются серьезной проблемой для государственных агентств, бизнеса, некоммерческих организаций и отдельных лиц. Согласно отчету Белому дому от Совета экономических советников, атаки стоили экономике США более 57 миллиардов долларов в 2016 году.

DEEP-Dig может сыграть значительную роль в эволюции тактики защиты, одновременно с эволюцией методов хакинга. Нарушители могут нарушить этот метод, если они осознают, что они вошли на сайт-ловушку, но Хэмлен не слишком обеспокоен.

«До сих пор мы обнаружили, что это не работает. Когда нападавший пытается играть вместе, система защиты просто учится, как хакеры пытаются скрыть свои следы», – сказал Хэмлен. «Это выигрышная ситуация для нас».

Другими исследователями, участвовавшими в работе, являются Фредерико Араужо, исследовательский ученый в исследовательском центре IBM Томаса Дж. Уотсона; Халед Аль-Наами; Ян Гао, аспирант компьютерных наук в Университете Техаса в Далласе; и доктор Ахмад Мустафа из Университета науки и технологий Иордании.

Исследование было частично поддержано Офисом морской разведки, Агентством национальной безопасности, Национальным научным фондом и Исследовательским центром ВВС.