למידה עמוקה מעלה את הרף של פתרונות אבטחת המידע

החלפת "עץ החלטה" עם רשתות עצביות בונה את פתרונות אבטחת המידע של המחר ויוצרת בידול משמעותי בין ספקי אבטחת המידע

22/05/2018 12:33
אריה דנון, מנהל אבטחת מידע באבנט תקשורת. צילום: יח"צ

ההצלחות הגדולות בתחום הביג דטה והאנליטיקס הופכות את עולם פתרונות אבטחת המידע על פיו. בעת שבה התוקפים ממשיכים לשנות את המודוס אופרנדי שלהם, ואת כלי התקיפה שלהם, פתרונות אנליטיים מתקדמים מאפשרים לזהות ניסיונות חדירה זדוניים לרשת או לנקודות הקצה, גם כשמדובר באיומים חדשים שטרם נראו קודם לכן.

הכלים האנליטיים, הלקוחים מעולם הבינה המלאכותית ולמידת המכונה, לומדים את פרופיל המשתמשים והתנהגותם ואת אופי ההתנהלות העסקית התקינה, על מנת לבסס סף של התנהגות נורמלית ואבנורמלית. זאת, בהשוואה לכלים מסורתיים שמשתמשים בתבניות חתימה מוגדרות מראש ובתרחישי תקיפה מהעבר על מנת לזהות ולחסום התנהגות זדונית שמאיימת לחדור לארגון.

כלי למידת מכונה

למידת מכונה ובינה מלאכותית הם הכלים הגדולים ביותר שמיושמים באנליטיקה של ביג דטה. אלו כוללים גישת "עץ החלטה", שהייתה בשימוש החל משנות התשעים, ורשתות עצביות עמוקות או למידה עמוקה. רוב הספקים בנו את הפתרונות שלהם על אלגוריתמים מבוססי עץ החלטה, על מנת לזהות איומי אבטחת מידע. טכניקות מוכרות ומובנות אלו, שפותחו בשנות התשעים, הנן פשוטות יחסית לשימוש ולניהול, ומספקות תוצאות מספקות במידה מסוימת.

עץ החלטה בדרך כלל כולל משחק של 20 שאלות, על מנת לזהות נוזקה, והוא בעל מבנה של תרשים זרימה. כל ענף מייצג את תוצאות המבחן, וכל עלה מייצג את ההחלטה שהתקבלה אחרי חישוב כל המאפיינים. בניגוד לגישת עץ החלטה, למידת עמוקה מבצעת אוטומציה של התהליך. היא מזהה אוטומטית מאפיינים אופטימליים בעזרת שיטות לימוד בהשראת המוח האנושי. מסיבה זאת, רשתות למידה עמוקה עוקפות את למידת המכונה הקונבנציונלית בנוף פתרונות אבטחת המידע.

רשת למידה עמוקה כוללת אלמנטים פשוטים שנקראים נוירונים, המקבלים קלט, משנים את מצבם הפנימי בהתבסס על הקלט, ומייצרים פלט שנקבע על ידי אופי הקלט ותהליך האקטיבציה שלהם. הרשת נוצרת כאשר הפלט ממשיך להפוך לקלט לנוירונים נבחרים, אשר ממשיכים לשנות את המצב הפנימי שלהם בהתבסס על חשיבות יחסית שנקבעת מראש ופונקציות אקטיבציה.

השוואה בין כלים

כאשר למידה עמוקה מיושמת באבטחת מידע, היא מפיקה שיעור זיהוי גבוה יותר ללינקים זדוניים ופחות תוצאות חיוביות שגויות. בנוסף, היא זקוקה לנפח זיכרון קטן יותר בנקודות הקצה, יחסית לפתרונות אחרים.

על ידי הצבת שיעור התוצאות החיוביות השגויות ב-1 למיליון לינקים לא זדוניים, למידה עמוקה יכולה להשיג שיעור זיהוי של 72% ללינקים זדוניים חדשים, שלא הופיעו קודם ברשימת האיומים המוכרים. גישת עץ ההחלטה הקונבנציונלית יכולה גם להשיג שיעורי זיהוי דומים, אבל רק על ידי העלאת שיעורי התוצאות החיוביות השגויות מ-1 למיליון לינקים לא זדוניים ל-1 לאלף לינקים לא זדוניים. זוהי עליה פי 1,000 במידת התוצאות החיוביות השגויות.

מעבר לשיעורי ההצלחה הגבוהים, ישנו גם הבדל בדרישות הביצועים של למידה עמוקה לעומת פתרונות מבוססי עץ החלטה לנקודות קצה. פתרון למידה עמוקה יכול להיות מופעל בנקודת קצה דלת משאבים, עם נפח אחסון של 10 מגה-בייט בלבד. לעומת זאת, פתרון מבוסס עץ החלטה יכול להיות לא פונקציונלי בנקודת קצה סטנדרטית ולדרוש נפח אחסון גבוה יותר. זמני הסריקה של פתרונות המבוססים על עץ החלטה אטיים פי עשרה לעומת למידה עמוקה. זוהי מגבלת ביצועים עצומה, במיוחד בזמן סריקה של מיליוני לינקים וקבצי הרצה לסשן.

ארגונים שמעוניינים להשקיע בפתרונות מבוססי למידה עמוקה צריכים לנתח את גישת הלמידה העמוקה האמיתית על פי ארבעה פרמטרים: מאפיינים, יכולת גידול, גודל ויצרן.

מערכות למידה עמוקה יכולות לגדול באופן אוטומטי למאות מיליונים של דוגמאות לימוד, כלומר הן יכולות "לשנן" את נוף האיומים כולו כחלק מתהליך הלימוד, ולשפר את תוצאות הזיהוי. למידה עמוקה נגשת לתוצאות בתבניות דחוסות מאד, בעוד למידת מכונה מסורתית נגשת לתוצאות בתבניות עצומות ממדים שיכולות לתפוס נפח של ג'יגה בייטים רבים בדיסק. חשוב לשים לב ליצרן של הפתרון – יצרן אבטחת מידע ותיק שצבר ידע לאורך שנים יספק פתרון מלא יותר שהספיק ללמוד מידע רב ולכן, יספק ביצועים גבוהים יותר.

הכותב הוא מנהל מחלקת אבטחת המידע באבנט תקשורת, המפיצה את פתרונות Sophos בישראל.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים