Взять след: в России нейросеть обучили поиску вредоносных программ

Российские ученые научили нейросеть находить вредоносные программы — кейлоггеры, ворующие пароли. По словам специалистов Санкт-Петербургского федерального исследовательского центра РАН, технология позволит усилить защиту от злоумышленников. Подробности — в материале «Известий».

Как нейросеть в России обучили поиску вредоносных программ

О том, что ученые из Санкт-Петербурга научили нейросеть находить вредоносы, в пресс-службе исследовательского центра рассказали 9 апреля.

«Исследователи СПб ФИЦ РАН предложили подход, который позволяет при помощи нейросетей обнаружить кейлоггеры — программы, записывающие последовательность нажатия клавиш клавиатуры или мыши, — говорится в сообщении. — Предложенные алгоритмы могут быть встроены в системы сетевой безопасности для защиты от злоумышленников, которые способны использовать кейлоггеры, например, для получения доступа к аккаунтам пользователей».

Как пояснил старший научный сотрудник лаборатории проблем компьютерной безопасности СПб ФИЦ РАН Дмитрий Левшун, ученые разработали подход, который ищет следы присутствия кейлоггеров в сетевом трафике — иными словами, он нацелен на процесс взаимодействия программ-шпионов с удаленными серверами. В основе этого решения лежат несколько методов искусственного интеллекта (ИИ), которые могут мониторить трафик пользователя или организации и сигнализировать, если где-то обнаружена подозрительная сетевая активность, похожая на работу кейлоггеров.

Как еще нейросети применяют в борьбе с вирусами

Сегодня нейросети активно используются в программных комплексах по обеспечению информационной безопасности, говорит в беседе с «Известиями» кандидат технических наук, руководитель лаборатории кибербезопасности Аналитического центра кибербезопасности компании «Газинформсервис» Ксения Ахрамеева.

— В частности, используются технологии, которые имеют машинное обучение, поведенческую аналитику и автоматизацию для выявления аномалий в поведении пользователей и устройств, которые могут указывать на потенциальные угрозы безопасности, — рассказывает эксперт.

Современные нейросетевые технологии интегрируются в системы антивирусной защиты по четырем ключевым направлениям, дополняет руководитель группы ИБ-инженеров Лиги цифровой экономики Илья Павлюк. Во-первых, статический анализ позволяет выявлять вредоносные паттерны непосредственно в коде файлов (например, в PE-файлах Windows).

Во-вторых, поведенческий анализ отслеживает активность процессов в реальном времени и фиксирует подозрительные действия — от вызовов API до попыток внедрения в другие процессы. Третье направление связано с анализом трафика: алгоритмы помогают обнаруживать аномалии в сетевом поведении (DDoS-атаки, активность ботнетов или скрытый C2-трафик). Четвертый аспект охватывает противодействие фишингу и мошенничеству через распознавание поддельных сайтов, спама и социальной инженерии с применением NLP-моделей.

— Лидерами в реализации этих технологий стали компании DeepInstinct, Cylance (в составе BlackBerry) и Darktrace, чьи продукты демонстрируют эффективность ИИ-решений в области кибербезопасности, — отмечает Илья Павлюк.

В чем плюсы и минусы нейросетей в борьбе с вредоносным ПО

Нейросетевые модули уже получили широкое распространение в продуктах информационной безопасности компаний, поскольку позволяют улучшить качество и функционал антивирусов, говорит в беседе с «Известиями» ведущий эксперт отдела разработки и тестирования компании «Код безопасности» Александр Самсонов. Их главное преимущество состоит в том, что они могут работать там, где нет точных критериев оценки легитимности тех или иных файлов и действий.

— Иными словами, критерии оценки имеют вероятностный характер, — объясняет специалист. — При помощи классических сигнатурных методов обнаружить вредоносную активность таким образом бывает значительно сложнее или даже невозможно.

Преимущество использования нейросетей в качестве антивирусов заключается в том, что они способны выявлять угрозы и уязвимости там, где стандартные подходы не работают, дополняет руководитель R&D- лаборатории Центра технологий кибербезопасности ГК «Солар» Максим Бузинов. Например, они могут обнаруживать сложные и скрытые закономерности в данных, с которыми не справляются простые алгоритмы, что позволяет эффективно распознавать поведение вредоносных программ на разных уровнях их активности.

В то же время, говоря о недостатках нейросетей в качестве инструмента против киберугроз, Самсонов отмечет высокую стоимость, сложность создания и обучения, высокую вероятность ошибок первого и второго рода (ложноположительных и ложноотрицательных срабатываний), а также повышенную нагрузку на оборудование.

— Также нейросети в процессе дообучения могут быть подвержены атаке типа «отравление данных», когда во входные наборы данных вносятся такие изменения, что нейросеть начинает неправильно реагировать на входные данные уже в процессе работы, — говорит специалист.

Поэтому не всегда стоит задействовать весьма требовательные к ресурсам алгоритмы машинного обучения там, где работают эффективно традиционные способы защиты информации, подчеркивает Максим Бузинов.

Какое будущее у нейросетей в плане борьбы с вирусами

Перспективы нейросетей в антивирусных системах зависят от прогресса в разработке комплексных методов обеспечения кибербезопасности, считает Илья Павлюк. Одним из ключевых направлений станет развитие гибридных систем, сочетающих ИИ с более традиционными методами — сигнатурным и поведенческим анализом. Можно ожидать, что в будущем это повысит точность выявления угроз и нивелирует слабые стороны отдельных технологий.

— Значительный потенциал скрыт в облачных песочницах (Sandbox), где ИИ-модели могут анализировать подозрительные файлы в изолированной среде без рисков для инфраструктуры, — говорит собеседник «Известий». — Предиктивные модели позволят эффективнее прогнозировать атаки с помощью анализа данных о киберугрозах.

По словам Ильи Павлюка, в будущем нейросети смогут автоматически отвечать на атаки, то есть не только обнаруживать, но и блокировать их в реальном времени (как в EDR/XDR-системах). При этом главным трендом станет интеграция нейросетей в ESM-платформы (Extended Detection and Response) для комплексной защиты предприятий.

При этом, несмотря на прогнозируемый рост, нейросети не заменят антивирусы, считает эксперт. Скорее, решения на основе ИИ станут их ключевым дополнением, особенно против сложных и неизвестных угроз. Разработка российских ученых — важный шаг, но ее практическая эффективность будет зависеть от тестирования в реальных условиях.

— Важно понимать, что ландшафт киберугроз объемный, динамичный и не ограничивается только вредоносными программами, — заключает руководитель Kaspersky GReAT в России Дмитрий Галов. — Поэтому для эффективной защиты пользователям рекомендуется использовать комплексные защитные решения, которые помогут снизить киберриски, связанные в том числе со скамом, фишингом, телефонным мошенничеством и другими киберугрозами.