Cách Kaspersky AI giúp bảo vệ điểm cuối

Ứng dụng Ai giúp phát hiện hơn 80% tập tin độc hại mới

Bộ sưu tập của Kaspersky hiện chứa hơn 2,1 tỷ mẫu độc hại, một con số tăng gấp đôi chỉ trong 5 năm gần đây. Các hệ thống tự động của Kaspersky đang phát hiện ra hơn 467.000 mối đe dọa mới mỗi ngày, con số đó cũng đã tăng gấp đôi trong những năm gần đây.

Thực tiễn này cho thấy các công nghệ bảo mật truyền thống đơn thuần không còn đủ sức đối phó với sự gia tăng cả về số lượng lẫn mức độ tinh vi của phần mềm độc hại.

Trước thách thức đó, Kaspersky đã sớm ứng dụng trí tuệ nhân tạo (AI) từ cách đây 20 năm và không ngừng cải tiến các giải pháp công nghệ. Kaspersky tin tưởng vào cách tiếp cận nhiều lớp đối với bảo mật mạng và mỗi lớp lại có thể được củng cố bằng cách sử dụng AI.

Trong bảo vệ điểm cuối, tuyến phòng thủ đầu tiên là phân tích tĩnh. Các giải pháp của Kaspersky giám sát chặt chẽ nhiều nguồn lây nhiễm tiềm ẩn như hoạt động duyệt web, email, mạng nội bộ, thiết bị lưu trữ USB di động và các ứng dụng mới, tùy theo từng nền tảng và hệ điều hành. Tất cả các đối tượng đi vào đều được quét bởi các công cụ của Kaspersky, trong đó có sẵn nhiều công nghệ AI.

Các công cụ của Kaspersky sẽ trích xuất siêu dữ liệu và phân tích đối tượng để thu thập các đặc điểm là các tham số duy nhất có thể mô tả đối tượng. Các đặc điểm này (là hàng nghìn tính năng) được xử lý bởi các mô hình máy học (ML) dựa trên các tập hợp cây quyết định. Các mô hình dự đoán này được đào tạo trên bộ dữ liệu bao gồm hàng triệu mẫu đào tạo được lựa chọn kỹ lưỡng.

Một công nghệ quan trọng khác được sử dụng để phân tích tĩnh là băm tương tự. Để tạo các giá trị băm tương tự, hệ thống trích xuất các đặc điểm của tập tin và sử dụng công nghệ chiếu trực giao để xác định tính năng quan trọng nhất. Sau đó, cơ chế nén dựa trên ML được áp dụng để các vectơ giá trị của các đặc điểm tương tự được chuyển thành các mẫu tương tự hoặc giống hệt nhau.

Phương pháp này cho phép khái quát vững chắc và giảm đáng kể kích thước của cơ sở bản ghi phát hiện, vì một bản ghi có thể phát hiện toàn bộ họ phần mềm độc hại đa hình (tức là phần mềm độc hại thay đổi cơ thể của nó mỗi khi sao chép, trong khi vẫn giữ lại chức năng cốt lõi).

Cơ sở hạ tầng phân tán phức tạp có trong Kaspersky Security Network (KSN), kết hợp với các hệ thống xử lý tự động, hoạt động như một bộ não mạng toàn cầu, thu thập và phân tích dữ liệu mối đe dọa từ hàng triệu người dùng tự nguyện tham gia để phát hiện các mối đe dọa ngay lập tức.

Cơ sở hạ tầng này phân tích hàng triệu mẫu mỗi ngày và xử lý hàng tỷ thông báo từ KSN, tổng hợp thông tin về mối đe dọa về các đối tượng đáng ngờ bằng nhiều công nghệ AI. Hệ thống danh tiếng Astraea tổng hợp tất cả các số liệu thống kê với thông tin siêu dữ liệu về các đối tượng đáng ngờ trên toàn thế giới theo thời gian thực để đưa ra quyết định.

Hệ thống phát hiện giá trị băm tương tự là một công nghệ dựa trên ML khác nhằm phát hiện các biến thể phần mềm độc hại. Theo đo lường từ xa của Kaspersky, công nghệ này bảo vệ hàng trăm nghìn khách hàng của mình trước các phần mềm độc hại mới mỗi ngày.

Trong lĩnh vực khác, Cloud ML cho Android là một công nghệ dựa trên đám mây bảo vệ người dùng điện thoại thông minh Android. Mô hình được đào tạo trên hàng triệu mẫu phần mềm độc hại trên thiết bị di động và có thể phát hiện các ứng dụng độc hại với độ chính xác cao, bao trùm hơn 90% các mối đe dọa mới và chưa biết và ngăn chặn hàng triệu cuộc tấn công vào khách hàng của Kaspersky mỗi năm.

Các hệ thống xử lý tự động nội bộ của Kaspersky ứng dụng AI ở quy mô lớn. Bên cạnh các công nghệ triển khai ở điểm cuối và trên đám mây, hạ tầng này còn sử dụng các mô hình học máy (ML) chuyên sâu, đòi hỏi tài nguyên tính toán lớn nên không thể chạy trực tiếp trên thiết bị người dùng. Dù vậy, đây là những mô hình có năng lực phân tích vượt trội và độ chính xác rất cao.

Ví dụ, Kaspersky vận hành các mô hình ML dựa trên mạng nơ-ron, được huấn luyện từ hàng trăm triệu mẫu hợp pháp và độc hại nhằm phát hiện phần mềm độc hại mới, đồng thời giảm thiểu nguy cơ nhận diện nhầm. Nhờ hệ thống xử lý tự động này, hơn 80% tập tin độc hại mới được phát hiện kịp thời.

Bên cạnh đó, các mô hình ML khác tiếp tục phân tích nhật ký hành vi và lưu lượng mạng thu thập từ các sandbox. Thông tin về các đối tượng độc hại sau khi được xác định sẽ nhanh chóng được chuyển tới các điểm cuối thông qua dịch vụ Kaspersky Security Network (KSN) dựa trên nền tảng đám mây.

Mô hình phát hiện lừa đảo web đã được cấp bằng sáng chế của Kaspersky được đào tạo trên bộ dữ liệu toàn diện gồm hàng triệu mẫu để phát hiện các trang web độc hại dựa trên cả nội dung và siêu dữ liệu của mình. Mô hình này hoạt động bằng cách trích xuất thông tin chi tiết nâng cao về các mẫu xác định các trang lừa đảo, đảm bảo xác định mối đe dọa mạnh mẽ và cho phép phát hiện hàng trăm nghìn tài nguyên web lừa đảo mỗi năm.

Kaspersky cũng sử dụng AI để phát hiện các tên miền độc hại và lừa đảo dựa trên mối quan hệ cơ sở hạ tầng của chúng với các tên miền độc hại và lừa đảo đã biết. Mô hình này xây dựng một biểu đồ các tên miền dựa trên siêu dữ liệu của chúng và phân giải DNS và sử dụng các mô hình ML đặc biệt để hé lộ liệu việc phân loại có thể được lan truyền từ các đỉnh miền độc hại hoặc lừa đảo đã biết đến các vùng lân cận đồ thị của chúng hay không. Được đào tạo trên hàng triệu tên miền, mô hình này giúp ngăn chặn vài triệu cú nhấp chuột vào liên kết lừa đảo mỗi năm.

Nếu mối đe dọa không được ngăn chặn trước khi thực hiện, lớp bảo vệ thứ hai sẽ bắt đầu. Công cụ phát hiện hành vi sẽ giám sát tất cả các hành vi của tiến trình bằng cách sử dụng mô hình AI hành vi, sức mạnh của KSN và thông tin từ phân tích tĩnh để phát hiện các mẫu độc hại và ngăn chặn hành vi độc hại.

Và đó chưa phải là tất cả ngay cả khi mối đe dọa xâm nhập được vào lớp phân tích tĩnh, lớp tiếp theo sẽ vào cuộc các giải pháp bảo mật chuyên nghiệp dành cho các khách hàng chuyên gia SOC.

Kaspersky Next XDR tận dụng AI để nâng cao hiệu quả của các nhóm SOC bằng cách giảm thiểu các cảnh báo không cần thiết, tự động phân tích và giải thích các sự kiện cũng như phát hiện hành vi bất thường như các cuộc tấn công hijack DLL.

Kaspersky Threat Intelligence Portal sử dụng AI để tóm tắt dữ liệu thông tin về mối đe dọa và giảm tải cho các chuyên gia phân tích.

Dự đoán và vô hiệu các mối đe dọa mới nổi

Như đã mô tả ở trên, Kaspersky tận dụng ML qua nhiều lớp, từ phân tích cấu trúc tập tin cho đến giám sát hành vi, sử dụng nhiều loại AI khác nhau, từ đó cung cấp khả năng bảo vệ cho hàng triệu người dùng theo thời gian thực, thích ứng với sự phát triển năng động của tội phạm mạng.

Bằng cách khai thác sức mạnh của AI, Kaspersky không chỉ phát hiện phần mềm độc hại đã biết mà còn dự đoán và vô hiệu các mối đe dọa mới nổi với độ chính xác chưa từng có. Cách tiếp cận chủ động này đảm bảo rằng người dùng được bảo vệ trước các cuộc tấn công tinh vi, chẳng hạn như khai thác zero-day và phần mềm độc hại đa hình, liên tục phát triển để tránh bị phát hiện.

Hơn nữa, các giải pháp dựa trên AI của Kaspersky được thiết kế để giảm thiểu phát hiện nhầm, cân bằng bảo mật mạnh mẽ với hiệu quả hoạt động. Thông qua việc học hỏi và cập nhật liên tục, hệ thống của giải pháp thích ứng với các vectơ tấn công mới và bối cảnh mối đe dọa, duy trì mức độ chính xác và độ tin cậy cao.

Cho dù bảo vệ các thiết bị cá nhân, mạng công ty hay cơ sở hạ tầng quan trọng, công nghệ ML của giải pháp cho phép người dùng đi trước tội phạm mạng một bước.