В DARPA намерены использовать искусственный интеллект для защиты от существующих и новейших киберугроз

[edd_k]

Ой, запарили своими кешбеками. Польза то хоть есть? Или спам ради спама?

[ankh1989]

А меня новая реклама наоборот радует: я тут открыл для себя uBlock, почитал гитхаб автора, понял как всё правильно там сделано и теперь ищу что бы ещё выпилить.

[saboteur_kiev]

Какое-то разводилово.
ПО само, без специалиста, будет искать что-то, о чем оно заранее не знает?

[DmitryBabokin]

Вы удивитесь, но это не первый этап соревнования и у них уже получается это делать, причём неплохо.

[chelaxe]

Скайнет? Прям по 3 фильму.

[T-362]

Вот это будет пушка если «тупой» ИИ решит что лучшей защитой от взлома их «очень плохо написанного софта» будет выложить защищаемые данные в открытую. Или еще веселее — умный ИИ начитавшись данных сам их выкладывает, кибер-сноуден. И добивающее — хакеры-ксенопсихолухи социальной инженерией убеждают ИИ отдать им данные.

[Vinchi]

Каким это образом ИИ сможет находить новые уязвимости?
И как мониторинг позволит ИИ снять работу со специалистов? Откуда ей знать какие события важны?
Особенно если речь идет об уязвимостях нулевого дня, которые еще неизвестны. Одно дело сканировать системы на уже открытые уязвимости, по которым есть кейсы, закрывать их и обучать нейросеть по этим событиям. Да, в таком случае может снизиться нагрузка на специалистов, чтобы они не занимались одни и тем же. Но совершенно новые уязвимости? Если только случайно.

[DmitryBabokin]

Как минимум анализ кода на возможное незадекларированное поведение — полное доказательство и перебор входных параметров работают плохо, а вот «умные подходы» хорошо повышают эффективность существующих методов, это раз. Анализ атаки в реалтайме и закрытие дыры во время взлома, это два.

[Vinchi]

Что значит «умные подходы»?
Насчет анализа атаки. Если атакующий максирует свои действия еще несколькими не имеющими в реальной атаке отношения, то ИИ может посчитать их важными для мониторинга и особыми симптомами. В итоге может закрыть то, что наоборот нужно держать открытым. А атакующее ИИ еще больше будет использовать зашумление. В итоге локальным минимумов станет больше и их невозможно будет отличить от реальной атаки.

[DmitryBabokin]

«Умные подходы» в том смысле, что при анализе программы на возможные уязвимости можно пытаться понять все возможные варианты работы программы при различных данных и это не работает в силу слишком большого числа вариантов входных данных и возможных путей исполнения, получается экспоненциальный взрыв количества возможных вариантов. А можно пытаться подбирать данные специальным образом так, чтобы пройти в исполняемом файле как можно дальше и где-то внутри уже найти дырку. По подобному принципу работают, например, фаззеры — на вход сыпят всякий мусор и смотрят по каким путям идёт исполнение, как только удаётся прорваться глубже, эти входные данные считают более удачными, чем предыдущие, и начинают мутировать пытаясь пробиться ещё глубже.

[isden]

> Анализ атаки в реалтайме

Наскольк помню, современные IDS уже вполне применяют подобные эвристические подходы.

> закрытие дыры во время взлома

Опять же, насколько помню, во времена шумихи с shellshock, была новость, что какая-то подобная экспериментальная система сама смогла сочинить бинарный патч для закрытия этой уязвимости.

[NaurizAitbai]

для защиты