Um mit modernen Angriffen Schritt zu halten, müssen sich Security-Lösungen pausenlos weiterentwickeln, ohne ein menschliches Eingreifen zu erfordern. Hier kommen die Vorteile der Mathematik und des maschinellen Lernens zum Tragen. [...]
Ein mathematischer und maschinenlernbarer Ansatz in der IT-Sicherheit kann das Verständnis über die Klassifizierung und Ausführung von Dateien fundamental verändern. IT-Security-Anbieter Cylance verfolgt diesen Ansatz in seinen Produkten. Der Kern der Technologie ist ein massiver und hochskalierbarer Datenprozessor, der ein hochentwickeltes, mathematisches Modell auf enorme Datenmengen in nahezu Echtzeit anwendet. Dabei verfolgt das System einen Vier-Phasen-Prozess: Sammlung, Extraktion, Lernen und Klassifizierung.
1. Schritt: Sammlung
Wie bei der DNS-Analyse oder versicherungsmathematischen Berechnungen beginnt die Dateianalyse mit der Sammlung immenser Datenmengen. Hier sind dies hauptsächlich ausführbare Dateien, PDFs, Microsoft Word-Dokumente, Java, Flash usw. Diese Dateien werden über Feeds von Industriepartnern sowie öffentlichen und eigenen Datensammlungen zugeführt.
Wie bei der DNS-Analyse oder versicherungsmathematischen Berechnungen beginnt die Dateianalyse mit der Sammlung immenser Datenmengen. Hier sind dies hauptsächlich ausführbare Dateien, PDFs, Microsoft Word-Dokumente, Java, Flash usw. Diese Dateien werden über Feeds von Industriepartnern sowie öffentlichen und eigenen Datensammlungen zugeführt.
2. Schritt: Extraktion
Die nächste Stufe des Maschinenlernprozesses ist die Extraktion von Merkmalen und Attributen und sie unterscheidet sich grundsätzlich von der Verhaltens- und Malware-Analyse traditioneller Schadcode-Analysten, so die Angaben des Anbieters.
Die nächste Stufe des Maschinenlernprozesses ist die Extraktion von Merkmalen und Attributen und sie unterscheidet sich grundsätzlich von der Verhaltens- und Malware-Analyse traditioneller Schadcode-Analysten, so die Angaben des Anbieters.
Statt auf die Dinge zu achten, die ein Analyst für schädlich erachtet, nutzt Cylance enorme Rechenleistung und Data-Mining-Techniken, um das größtmögliche Spektrum an Dateimerkmalen einer Datei zu erhalten. Diese Merkmale können sehr einfach sein, wie die Dateigröße einer ausführbaren Datei oder dem verwendeten Compiler, aber auch komplex, indem z.B. die ersten logischen Transaktionen des ausführbaren Codes analysiert werden.
3. Schritt: Lernen
Sobald sämtliche Attribute gesammelt wurden, werden die Datensätze normalisiert und in numerische Werte umgewandelt, die in den statistischen mathematischen Modellen verwendet werden können. An dieser Stelle setzt die Vektorisierung ein und das maschinelle Lernen kommt zum Einsatz. Die Nachteile und Störfaktoren der manuellen Analyse (Falschbeurteilung und langsame Verarbeitung) entfallen. Das mathematische Model wird dann von Cylance-Mathematikern anhand der Millionen gewonnen Merkmale entwickelt und geprüft, um eine akkurate Vorhersage zur Schädlichkeit einer Datei zu erhalten.
Sobald sämtliche Attribute gesammelt wurden, werden die Datensätze normalisiert und in numerische Werte umgewandelt, die in den statistischen mathematischen Modellen verwendet werden können. An dieser Stelle setzt die Vektorisierung ein und das maschinelle Lernen kommt zum Einsatz. Die Nachteile und Störfaktoren der manuellen Analyse (Falschbeurteilung und langsame Verarbeitung) entfallen. Das mathematische Model wird dann von Cylance-Mathematikern anhand der Millionen gewonnen Merkmale entwickelt und geprüft, um eine akkurate Vorhersage zur Schädlichkeit einer Datei zu erhalten.
4. Schritt: Klassifizierung
Nachdem die statistischen Modelle erstellt wurden, können sie in der Cylance Engine verwendet werden, um unbekannte Dateien zu klassifizieren. Die Analyse dauert nur Millisekunden und ist aufgrund der hohen Bandbreite der berücksichtigten Dateimerkmale sehr präzise. Aufgrund der Analyse durch statistische Modelle ist das Resultat kein absoluter Wert sondern ein „Confidence Score“, anhand dessen der Kunde einfach die Entscheidung treffen kann, ob die Datei blockiert, in Quarantäne gestellt, überwacht oder weiter analysiert werden soll. Alle Produkte und Dienstleistungen, die der Security-Spezialist anbietet, sind direkt mit der Cylance-Engine verknüpft, um eine hohe Treffsicherheit und einen tiefen Einblick in die Landschaft der modernen IT-Sicherheitsbedrohungen zu geben.
Nachdem die statistischen Modelle erstellt wurden, können sie in der Cylance Engine verwendet werden, um unbekannte Dateien zu klassifizieren. Die Analyse dauert nur Millisekunden und ist aufgrund der hohen Bandbreite der berücksichtigten Dateimerkmale sehr präzise. Aufgrund der Analyse durch statistische Modelle ist das Resultat kein absoluter Wert sondern ein „Confidence Score“, anhand dessen der Kunde einfach die Entscheidung treffen kann, ob die Datei blockiert, in Quarantäne gestellt, überwacht oder weiter analysiert werden soll. Alle Produkte und Dienstleistungen, die der Security-Spezialist anbietet, sind direkt mit der Cylance-Engine verknüpft, um eine hohe Treffsicherheit und einen tiefen Einblick in die Landschaft der modernen IT-Sicherheitsbedrohungen zu geben.
Be the first to comment