Primjena strojnog učenja svakodnevno se širi u raznovrsna područja. Jedno od takvih područja postala je kibernetička sigurnost. Dok raznolikost algoritama strojnog te dubokog učenja omogućava pristup obrani kibernetičkog svijeta u većini mrežnih slojeva i datotečnih sustava, jedna od najpopularnijih uporabi jest upravo detekcija malwarea u raznim sustavima.

Malware, kratica za malicious software, je bilo kakav softver stvoren za zlonamjerno iskorištavanje propusta u implementaciji raznih sustava ili aplikacija. Tradicionalne metode detekcije malware-a oslanjaju se na prepoznavanje temeljem digitalnog potpisa, koje uspoređuje kôd malware-a s bazom podataka poznatih potpisa malware-ova. Međutim, ovu metodu mogu lako zaobići napadači koji unutar samong malware-a jednostavno promijene dijelove koda koji razni sustavi za sprječavanje napada monitoriraju.

Detekcija temeljena na digitalnim potpisima je metoda identificiranja zlonamjernog softvera usporedbom njegovog koda s bazom podataka poznatih potpisa zlonamjernog softvera. Ova metoda funkcionira identificiranjem određenog uzorka ili “potpisa” unutar koda zlonamjernog softvera koji je jedinstven za taj određeni komad zlonamjernog softvera. Kada se naiđe na novi zlonamjerni softver, njegov se kod skenira i uspoređuje s potpisima u bazi podataka. Ako se pronađe podudaranje, zlonamjerni softver se identificira i označava kao zlonamjeran.

Međutim, ova metoda ima nekoliko nedostataka. Jedan od glavnih problema je da napadači mogu lako zaobići detekciju temeljenu na potpisu jednostavnom promjenom koda zlonamjernog softvera. To se može učiniti malim izmjenama koda, kao što je promjena naziva varijabli ili korištenjem tehnika zamagljivanja koda kako bi se prikrila stvarna funkcionalnost zlonamjernog softvera. Taj je proces poznat kao “pretvaranje koda” i vrlo otežava sustavima za otkrivanje koji se temelje na potpisima da identificiraju zlonamjerni softver.

Još jedan problem s detekcijom temeljenom na potpisima jest to što je učinkovita samo protiv poznatog zlonamjernog softvera. Nove varijante zlonamjernog softvera koje još nisu viđene nisu prisutne u bazi podataka potpisa i stoga se ne mogu otkriti. To znači da detekcija temeljena na potpisima nije prikladna za otkrivanje novih i nepoznatih prijetnji.

Ukratko, detekciju temeljenu na potpisima mogu lako zaobići napadači koji promijene kôd zlonamjernog softvera, ovaj se proces naziva preoblikovanje koda, što vrlo otežava sustavima za otkrivanje temeljenim na potpisima da identificiraju zlonamjerni softver. Osim toga, ova je metoda učinkovita samo protiv poznatog zlonamjernog softvera, nove varijante zlonamjernog softvera koje još nisu viđene nisu prisutne u bazi podataka potpisa i stoga se ne mogu otkriti.

Strojno učenje, s druge strane, može se koristiti za otkrivanje malware-a bez oslanjanja na potpise. Algoritmi strojnog učenja mogu se uvježbati da prepoznaju obrasce u ponašanju malware-a i označavaju sve što odstupa od norme. Ovi se algoritmi također mogu uvježbati na širokom rasponu podataka, uključujući mrežni promet, izvršenje procesa i sistemske pozive, kako bi se poboljšala njihova stopa otkrivanja.

Strojno učenje može se koristiti za otkrivanje zlonamjernog softvera prepoznavanjem uzoraka u ponašanju zlonamjernog softvera. Ovaj pristup je poznat kao otkrivanje na temelju ponašanja.

Detekcija na temelju ponašanja koristi algoritme strojnog učenja za analizu ponašanja dijela softvera i označavanje svega što odstupa od normalnog, očekivanog ponašanja. Na primjer, ako program počne uspostavljati mrežne veze s poznatim zlonamjernim domenama ili šifrira datoteke na sustavu, može biti označen kao zlonamjerni softver.

Kako bi se uvježbao model strojnog učenja, on se hrani velikim skupom podataka i benignih i zlonamjernih primjera ponašanja softvera. Model uči identificirati obrasce koji su specifični za zlonamjerni softver, a zatim se može koristiti za označavanje novog i nepoznatog zlonamjernog softvera.

Jedna od ključnih prednosti detekcije temeljene na ponašanju jest ta da ne ovisi o specifičnom kodu zlonamjernog softvera, već o ponašanju zlonamjernog softvera. To znači da će čak i ako se kod zlonamjernog softvera promijeni, ponašanje zlonamjernog softvera ostati isto, a model strojnog učenja ga i dalje može otkriti.

Osim toga, otkrivanje na temelju ponašanja također može otkriti nepoznati zlonamjerni softver, to je zato što je model obučen na širokom rasponu podataka, uključujući mrežni promet, izvršavanje procesa i sistemske pozive, te može identificirati obrasce koji odstupaju od norme, što je potpis zlonamjernog softvera.

Ukratko, strojno učenje može se uvježbati da prepoznaje obrasce u ponašanju zlonamjernog softvera, a ovaj se pristup naziva otkrivanje na temelju ponašanja. Ova metoda koristi algoritme strojnog učenja za analizu ponašanja dijela softvera i označavanje svega što odstupa od normalnog, očekivanog ponašanja. Ovaj pristup ne ovisi o specifičnom kodu zlonamjernog softvera, već o ponašanju zlonamjernog softvera i može otkriti nepoznati zlonamjerni softver.

U sustavu Windows dostupno je nekoliko alata za otkrivanje zlonamjernog softvera temeljenih na strojnom učenju, kao što je Windows Defender Advanced Threat Protection (ATP), koji koristi otkrivanje temeljeno na ponašanju za prepoznavanje i sprječavanje naprednih prijetnji. Druga opcija je Carbon Black, koja koristi strojno učenje za otkrivanje i odgovor na cyber prijetnje u stvarnom vremenu.

Važno je napomenuti da otkrivanje zlonamjernog softvera temeljeno na strojnom učenju nije sigurno te da ga napredni napadači još uvijek mogu zaobići. Stoga je važno koristiti više slojeva sigurnosti, uključujući vatrozid, sustave za otkrivanje upada i redovita ažuriranja softvera, za zaštitu od zlonamjernog softvera.

Zaključno, strojno učenje pruža dinamičniji pristup otkrivanju zlonamjernog softvera, može se osposobiti za prilagodbu novim napadima i može pomoći u prepoznavanju novih vrsta zlonamjernog softvera koji dosad nisu viđeni. Međutim, važno je koristiti detekciju zlonamjernog softvera temeljenu na strojnom učenju u kombinaciji s drugim sigurnosnim mjerama kako biste pružili najbolju zaštitu od zlonamjernog softvera.

[1] Wang W., Farid H.: Exposing Digital Forgeries in Video by Detecting Double MPEG Compression

[2] A. Gironi, M. Fontani, T. Bianchi, A. Piva, M. Barni: A VIDEO FORENSIC TECHNIQUE FOR DETECTING FRAME DELETION AND INSERTION

[3] https://www.forensicfocus.com/articles/forensics-bitcoin/