Suchen

Gesponsert

Eine skalierbare Lösung für ein globales Problem Deep Learning zum Schutz vor Malware

Die Zeiten, in denen Cybersicherheit „von Hand“ gewährleistet werden konnte, sind längst vorbei. Eine regelrechte Explosion an Daten macht heute die Nadel – also den Cyber-Angriff – ungleich schwerer aufzufinden: Der sprichwörtliche Heuhaufen ist exponentiell gewachsen. In dieser Situation können sich die „Guten“ nicht gegen die „Bösen“ verteidigen, jedenfalls nicht ohne eine völlig neue Art und Weise, Bedrohungen zu erkennen und abzuwehren. Die Malware-Erkennung von Alibaba Cloud nutzt künstliche Intelligenz, genauer ein tiefes neuronales Netzwerk (auch bekannt als Deep Learning) als Infrastruktur, um Schadsoftware wie DDoS-Trojaner oder Ransomware zu identifizieren.

Gesponsert von

Die wachsenden Datenmengen machen das Erkennen von schadhafter Software zunehmend schwerer.
Die wachsenden Datenmengen machen das Erkennen von schadhafter Software zunehmend schwerer.
(Bild: Alibaba)

Ehe wir nun in die Anwendungen von Künstlicher Intelligenz in der Cybersicherheit einsteigen, sei eine Bemerkung vorangestellt: KI allein bringt noch keine Sicherheit; Sicherheit entsteht durch eine Kombination von manueller Analyse, maßgeschneiderten Abfragen und KI-Werkzeugen, die allesamt datengetrieben sind und wie ein Jazz-Ensemble zusammenspielen, um Sicherheit zu schaffen. Während KI-Werkzeuge wohl datengetrieben sind, sind sie dennoch das Resultat einer Zusammenarbeit von Mensch und Maschine. Wie für jeden datengetriebenen Algorithmus ist es unerlässlich, den Kontext zu verstehen, was bis dato dem Menschen vorbehalten ist; genauso wie die Bewertung, wie gut der Algorithmus arbeitet.

Zwei Ansätze zur Malware-Erkennung

Als Cloud-Provider ist Alibaba Cloud den unterschiedlichsten Malware-Bedrohungen ausgesetzt. Malware zu erkennen war immer schon ein zentrales Ziel jeglicher Cybersicherheit, daher ist der Markt auch voller Antimalware-Anbieter, die die verschiedensten Herangehensweisen verfolgen. Wenn wir uns diese Ansätze ansehen, lassen sie sich grob in zwei Gruppen einteilen: signaturbasierte und verhaltensbasierte Erkennung.

Beim signaturbasierten Ansatz nutzt die Anti-Malware-Software eine Bibliothek von Signaturen aller gängigen Malware-Varianten und vergleicht die Dateien, die sie scannt, mit dieser Bibliothek. Dieser Ansatz ist sehr genau und sehr effektiv – solange er es mit bekannten Malware-Signaturen zu tun hat. Heutzutage allerdings, wo Malware ihre eindeutige Signatur sehr schnell ändern kann, kann er als nicht mehr effektiv angesehen werden.

Der verhaltensbasierte Ansatz geht einen anderen Weg: Er betrachtet nicht Dateien oder Programme, sondern Verhalten. Es gibt so etwas wie ein „normale“ und es gibt verdächtige oder arglistige Verhaltensmuster. Wenn sich eine Software anormal verhält, könnte sie schadhaft sein. Dieser Ansatz ist bei neuer Malware effektiv, da er keinen Präzedenzfall benötigt. Er ist tendenziell allerdings weniger genau, da verdächtiges Verhalten nicht notwendigerweise böswillig ist.

Die Lösung: Deep Learning zur Malware-Erkennung

Im Lauf des letzten Jahres hat Alibaba Cloud begonnen, einen dritten Ansatz anzuwenden, der flexibel genug ist, neuartige Malware zu detektieren, ohne dabei an Genauigkeit einzubüßen. Es handelt sich um einen auf Deep Learning basierenden Ansatz zur Malware-Erkennung.

Es gibt eine grundsätzliche Übereinkunft, dass einfache, signaturbasierte Erkennung überholt ist. Es geht schlicht nicht mehr schnell genug eine eindeutige Signatur für jede einzelne neue Malware oder Malware-Variante zu erstellen.

Wir müssen jedoch einen interessanten Punkt in der Welt der Schadsoftware-Entwicklung in die Überlegung einbeziehen: Hacker mögen es, Code wiederzuverwenden. Und das bedeutet, dass eine neue Malware, oder eine neue Variante existierender Malware, Codezeilen beinhalten wird, die bereits in anderer Malware verwendet wurden. Das heißt ganz einfach gesprochen, dass wenn wir eine neue verdächtige Datei mit Clustern bestehender Malware-Familien mit ähnlicher Codebasis vergleichen könnten, dann könnten wir mit hoher Wahrscheinlichkeit Rückschlüsse ziehen, ob sie böswillig ist oder nicht.

Mit anderen Worten: Deep Learning kann heute verwendet werden, um böswilligen Code zu klassifizieren – ohne explizite Regelmäßigkeiten und ohne menschliche Kontrolle. Sobald ein tiefes neuronales Netzwerk anfängt, schadhaften Code zu identifizieren, kann es unbekannte Dateien mit extrem hoher Genauigkeit als gut- oder böswillig erkennen – und das in Echtzeit.

Um ein tiefes neuronales Netzwerk für die Malware-Erkennung zu trainieren, ist es nötig, viele Millionen von sowohl bösartigen als auch legitimen Dateien zu analysieren und akkurat zu klassifizieren. Das an sich ist bereits keine triviale Aufgabe, doch es ist immer noch einfacher und genauer, als genügend Experten für Cybersicherheit um sich zu scharen.

Die Malware-Erkennung von Alibaba Cloud nutzt ein tiefes neuronales Netzwerk (besser bekannt als Deep Learning) als Infrastruktur, um Schadsoftware zu identifizieren. Verschiedene Dateifunktionen und Schnittstellen-Calls sind die Eingabevektoren für dieses neuronale Netz (und es handelt sich um eine sehr lange Liste von Eingabevektoren); zahlreiche Schichten von neuronalem Netz (ein so genanntes faltendes neuronales Netz) werden generiert, um die abstrakte Darstellung jeder Malware zu erlernen.

► Mehr über Alibaba Cloud Security

Was ist eigentlich „abstrakte Darstellung“?

Dieses wichtige Konzept ist am besten anhand des Beispiels der Bilderkennung zu erklären: Wenn der Zweck eines neuronalen Netzes zum Beispiel der ist, einen Hund auf einem Bild zu erkennen, ist der Weg dorthin, die benachbarten Schichten des Netzes so zu trainieren, dass sie unabhängig von einander einzelne Eigenschaften eines Hundes (also zum Beispiel sich wiederholende Eigenschaften wie Ohren, Beine, Schwanz usw.) zu lernen. Das ist die „abstrakte Darstellung“ eines Hundes. Basierend auf Ähnlichkeitswerten, die die verschiedenen Schichten berechnen, können wir entscheiden, ob es sich tatsächlich um einen Hund handelt, und nicht eine Katze oder einen Frosch.

Das folgende Schaubild zeigt die Bilderkennung eines Hundes, in der zahlreiche Neuronen Teile der Gestalt des Hundes identifizieren.

Deep Learning in der Praxis: abstrakte Repräsentation eines Hundes.
Deep Learning in der Praxis: abstrakte Repräsentation eines Hundes.
(Bild: Alibaba)

Zurück zur Cybersicherheit: Wenn die abstrakte Darstellung einer möglichen Schadsoftware in einer mittleren Schicht gelernt wird, nutzt das System eine normalisierte Exponentialfunktion, um die Wahrscheinlichkeit zu berechnen, mit der dieses Stück Software gut- oder böswillig ist, und für den Fall dass es böswillig ist, wie wahrscheinlich es in die Kategorien Trojaner/Ransomware/Virus usw. fällt. Die normalisierte Exponentialfunktion wird gewöhnlich für multiklassische Vorhersagen verwendet.

Wenn ein neuronales Netz die abstrakte Darstellung von Malware präzise vorhersagen kann, kann es auch das Verhältnis zwischen verschiedenen Typen von Malware visualisieren und eine „Landkarte“ von klar getrennten Malwarefamilien erstellen.

Da nun Alibaba Cloud tiefe Einblicke in von cloud-nativer Malware generierten Traffic hat, kann es ein hochtrainiertes neuronales Netz aufbauen und dieses nutzen, um Malware schnell nach seiner Familie und Code-Ähnlichkeit zu klassifizieren.

Beispiel: Ransomware

Ransomware zu detektieren und zu blockieren ist in den letzten Jahren zu einer der höchsten Prioritäten der Sicherheits-Community geworden. Der monetäre Verlust an Ransomware und die Gesamtheit der von ihr verursachten Störungen im Geschäftsbetrieb macht es für die Industrie nötig, schnell zu reagieren.

Wenn eine neue Ransomware auftaucht, hat sie keine einzigartige Signatur, ein bibliotheksbasierter Ansatz wird also nicht funktionieren. Dennoch wissen wir gewisse Dinge über eine neue Ransomware schon bevor sie tatsächlich auftaucht. Sie wird zum Beispiel bestimmte APIs verwenden, um die Verschlüsselungsfunktion durchzuführen. Sie könnte auch nicht dokumentierte APIs verwenden. Mit diesem Vorwissen lernt das Schadsoftware-Erkennungsprogramm von Alibaba Cloud das Verhalten verschiedener Ransomware-Familien, und kann neue Ransomware blockieren, die ähnliche Charakteristiken aufweist.

► Mehr über Bedrohungen in der Cloud erfahren

Beispiel: DDoS-Trojaner

Ende März 2018 hat eine Gruppe von Sicherheitsforschern eine hochkritische Sicherheitslücke in Drupal erkannt, einem verbreiteten Open Source Content Management Framework.

Diese Lücke erlaubte es, Code aus der Ferne auf jeder Drupal-basierten Website auszuführen, was bis hin zu einer vollständigen Kompromittierung der Seite führen konnte. Und wie man so schön sagt – Gelegenheit macht Diebe: die Drupal-Sicherheitslücke wurde von verschiedenen Angreifern genutzt und zehntausende Webseiten, die ihre Drupal-Version nicht upgedated hatten, wurden in Mitleidenschaft gezogen.

Das Alibaba Cloud Security Technology Lab hat die Fälle überwacht, in denen die Sicherheitslücke genutzt wurde, und herausgefunden, dass Hacker mehrerer Gruppierungen bereits im April 2018 groß angelegte Angriffe durchgeführt hatten. Diese Gruppierungen nutzten kompromittierte Seiten für verschiedene finstere Aktivitäten, zum Beispiel Cryptomining und DDoS. Der BillGates-Trojaner ist zum Beispiel ein berühmter DDoS-Trojaner: er macht betroffene Geräte zu DDoS-Maschinen. Es besteht ein direkter Zusammenhang zwischen der Verbreitung dieses Trojaners und der Drupal-Sicherheitslücke.

Das Allheilmittel gegen Cyberkriminalität

Wir möchten nicht behaupten, dass KI das Allheilmittel gegen Cyberkriminalität darstellt. Aber sie gibt uns die besten Mittel, die Lücke zwischen Angreifern und Verteidigern zu verkleinern. Es gibt eine inhärente Trennung aufgrund des langsamen Wachstums des menschlichen Wissens, wodurch die Zutrittsschwelle für Cyberkriminelle immer weiter sinkt. Der einzig gangbare Weg, diese Diskrepanz zu lösen, ist dieses wachsende Problem mit einer skalierbaren Lösung zu bekämpfen. Alibaba Cloud wendet diese Strategie seit mehreren Jahren an, um seine Kunden mit KI-getriebener Sicherheit besser zu schützen.

Advertorial - Was ist das?

Über Advertorials bieten wir Unternehmen die Möglichkeit relevante Informationen für unsere Nutzer zu publizieren. Gemeinsam mit dem Unternehmen erarbeiten wir die Inhalte des Advertorials und legen dabei großen Wert auf die thematische Relevanz für unsere Zielgruppe. Die Inhalte des Advertorials spiegeln dabei aber nicht unbedingt die Meinung der Redaktion wider.

(ID:46479176)