Traditionelle Cybersecurity-Maßnahmen haben eine stark reaktive Vorgehensweise – neue Malware-Muster werden erst dann in die Signatur-Datenbank der Antivirenlösung aufgenommen, wenn sie identifiziert werden konnten. Im besten Fall befallen sie hauptsächlich Honeypots; in vielen Fällen aber auch IT-Netzwerke, die dagegen noch wehrlos sind. Bei durchschnittlich 394.000 neuen Malware-Varianten pro Tag ist ein 100-prozentiger Malware-Schutz schwer vorstellbar. Anti-Malwarelösungen nutzen die Heuristik, um Malware aufgrund ihres Verhaltens zu erkennen. Heuristik, also die Kunst aus unvollständigen Informationen das wahrscheinlichste Ergebnis abzuleiten, ist eine Form der künstlichen Intelligenz (KI) bzw. von Machine Learning.
Reaktive Spam-Filter
Auch traditionelle Spamfilter arbeiten rein reaktiv. Sie addieren das Scoring von Schlüsselwörtern im Content von E-Mails und klassifizieren eine Mail ab einem gewissen Schwellenwert als Spam. Kommt Machine Learning bei Spamfiltern zum Einsatz, werden neben Keywords beispielsweise auch ähnliche Keyword-Schreibweisen, zu viele Sonderzeichen und Großbuchstaben in einer Mail, versteckte HTML-Texte und auf Command and Control Server verweisende Unsubscribe-Links erkannt. Machine Learning sorgt dafür, dass die Filter trainiert werden und lernen. Arbeitet der E-Mail Empfänger beispielsweise in einer Bank, werden Keywords wie ‚Kredit‘ oder das ‚€-Zeichen‘ folgenlos akzeptiert. Durch künstliche Intelligenz in Spamfiltern werden Erkennungsraten von über 99 Prozent erreicht.
Machine Learning erkennt Muster
Machine Learning ist ein Teilgebiet des weiter gefassten Begriffs künstliche Intelligenz (Artificial Intelligence) und sollte nicht als Synonym verwendet werden. Durch maschinelles Lernen können in strukturierten Daten Muster identifiziert und unter anderen Bedingungen angewendet werden. Bei Spamfiltern ist es beispielsweise die Erkennung von typischen Verhalten, Textmustern, Keywords und Absendern, aber auch die Analyse von Mails, die vom Empfänger nachträglich als Spam klassifiziert werden. Bei Machine Learning wird die Erkennung neuer Muster ständig trainiert und zukünftig von Maschinen eigenständig angewendet. Wie bei Leistungssportlern dauert solch ein Training und führt erst nach einiger Zeit zu besseren Ergebnissen. Diese Zeitspanne muss von Anwendern einkalkuliert werden. Bei Machine Learning kommen Algorithmen zum Einsatz, die auf die Analyse und Wiedererkennung von Signaturen optimiert sind. Neben dieser Logik werden erkannte Muster allgemeingültig gespeichert und unter einem geänderten Kontext wiedererkannt. Die Funktionen von Machine Learning kommen mittlerweile in fast allen Cybersecurity-Lösungen vor.
Deep Learning lehrt Maschinen das Lernen
Deep Learning, als Teilmenge bzw. Methode des Machine Learnings, korreliert selbstständig neue Situationen mit bereits vorhandenen Ergebnissen. Diese Entscheidungen sind die Basis für zukünftige Prozesse und Bewertungen. Deep Learning ähnelt den Vorgängen im menschlichen Gehirn. Das Gehirn nimmt etwas wahr, denkt darüber nach, verknüpft es mit gemachten Erfahrungen und leitet dann daraus eine Gesamtbewertung der neuen Situation ab. Die Ergebnisse werden immer wieder auf Richtigkeit geprüft und daraus ergeben sich kontinuierlich Optimierungen. Deep Learning verwendet sogenannte künstliche neuronale Netze (KNN), die in der Lage sind, immer neue Verknüpfungen zu bilden. Die KNN sind aus mehreren Schichten aufgebaut. Zwischen der Eingabe- und Ausgabeschicht befinden sich teilweise hunderte versteckte Zwischenschichten. In diesen Hidden Layers ist die gewichtete Logik integriert. Dort finden das Lernen und die Korrelation von Informationen statt. Deep Learning benötigt zur Kalibrierung große Datenmengen.