Mô hình máy học không theo truyền thống có thể tóm hacker trước khi chúng gây ra hậu quả

Vào năm 2013, một nhóm chuyên gia bảo mật Anh nhận thấy rằng các cơ sở hạ tầng số đều được bảo mật bằng cách cố gắng ngăn chặn kẻ xấu đột nhập, trong khi đó việc ngăn chặn chúng để lộ thông tin gần như bị bỏ qua. Chính vì vậy, một công ty an ninh mạng mang tên Darktrace đã ra đời.

Darktrace đã hợp tác với các nhà toán học thuộc Đại học Cambridge để phát triển một công cụ sử dụng Machine learning để phát hiện các vụ để lộ thông tin nội bộ. Các nhà nghiên cứu đã sử dụng unsupervised learning – máy học không giám sát, một công nghệ dựa trên dạng thuật toán máy học hiếm có không cần đến con người, để giúp công cụ có thể nhận diện được các phương thức mới của hành vi dị thường. Phương thức này khác hoàn toàn với cách truyền thống, dạy các thuật toán dựa trên lịch sử tấn công.

Darktrace

Hiện nay, đa số các ứng dụng máy học đều dựa trên học có giám sát (supervised learning), tức là máy được nhận một khối lượng dữ liệu vô cùng lớn đã được sắp xếp cẩn thận và được đào tạo để nhận ra một biểu mẫu được định nghĩa kỹ lưỡng.

Ví dụ, để máy có thể nhận dạng được một giống chó, các nhà nghiên cứu phải cung cấp cho nó hàng trăm, hàng nghìn bức ảnh về giống chó và các vật khác. Sau khi dạy cho máy về đúng/sai trong các bức ảnh đó, máy sẽ nhận diện giống cho riêng biệt khá tốt.

Học có giám sát đem lại hiệu quả khá tốt trong bảo mật

Học có giám sát đem lại hiệu quả khá tốt trong bảo mật. Máy được dạy về các nguy cơ hệ thống từng gặp phải trước đó. Nhưng phương pháp này lại gặp hai vẫn đề chính. Một là chỉ giám sát được những nguy cơ đã biết, còn với những nguy cơ chưa biết sẽ bị bỏ qua. Hai là chỉ hoạt động tốt nhất trong điều kiện dữ liệu cân bằng, nghĩa là số lượng ví dụ đồng đều giữa những biểu hiện không cần xử lý hoặc cần xử lý. Trong khi đó, dữ liệu bảo mật lại thường có rất ít ví dụ của hành vi đe dọa giữa vô vàn biểu hiện bình thường.

Mô hình máy học của Darktrace có thể đưa ra cảnh báo trước khi những kẻ đột nhập gây ra hậu quả

Trong trường hợp này, học không giám sát lại đem lại hiệu quả không ngờ. Nó có thể phát hiện các nguy cơ mà hệ thống chưa từng trải nghiệm nhờ khả năng tìm ra các mảnh ghép không theo biểu mẫu vốn có trong khối lượng dữ liệu không được sắp xếp.

Phần mềm của Darktrace có bản đồ hoạt động được thiết lập dựa trên các cảm biến thực và ảo được đặt xung quanh mạng lưới của khách hàng. 60 thuật toán học không giám sát sẽ cùng theo dõi để tìm ra hành vi bất thường từ dữ liệu đó. Thuật toán chủ đạo sẽ sử dụng các phương pháp thống kê khác nhau để phân tích và đánh giá xem nên lắng nghe hay bỏ qua kết quả nào trong số 60 kết quả đó.

Nhân viên vận hành có thể dựa vào bản mô hình hóa cuối cùng trong quá trình phức tạp trên để nhận biết và đưa ra hành vi phản ứng kịp thời trước khi bị tấn công. Trong thời gian đó, điểm bị tấn công cũng sẽ bị ngắt kết nối bên ngoài với thiết bị.

Mặc dù mô hình máy học của Darktrace có thể đưa ra cảnh báo trước khi những kẻ đột nhập gây ra hậu quả nhưng những kẻ tấn công cũng trở nên ngày càng tinh vi và xảo quyệt hơn trong việc đánh lừa máy móc. Chính vì vậy, vẫn còn rất nhiều việc phải làm để có thể hạn chế đối đa các vụ tấn công mạng.

Tin tổng hợp.

Trường đào tạo Kỹ sư An ninh mạng FPT Jetking đào tạo chuyên sâu về phần cứng và mạng máy tính. Sinh viên FPT Jetking có khả năng làm việc thực tế ngay sau tốt nghiệp trong những lĩnh vực như quản trị mạng, điện toán đám mây, an ninh mạng, lắp ráp và sửa chữa PC máy tính…
Hiện tại, Trường FPT Jetking có 2 cơ sở:
– Hồ Chí Minh: Số 391A, Nam Kỳ Khởi Nghĩa, Phường 7, Quận 3. (028 7300 8866)
– Hà Nội: Số 8, Tôn Thất Thuyết, Mỹ Đình, Từ Liêm. (024 7300 8855)