وبلاگ

معرفی هوش مصنوعی محصولات کسپرسکی

مقدمه
با گسترش و توسعه‌ی کامپیوترها، شبکه‌های کامپیوتری و به خصوص اینترنت، مفهوم ثروت دچار تغییر شده است. امروزه «ثروت» یعنی اطلاعات. طبیعی است که باید از این ثروت با ارزش  محافظت شود و متعاقبا اگر آگاهی کافی در مورد نگه‌داری از آن وجود نداشته باشد، به راحتی مورد سرقت و یا تخریب قرار می‌گیرد. از این رو، امنیت اطلاعات و امنیت سیستم‌ها، حتی برای کاربران خانگی و غیرمتخصص هم اهمیت ویژه‌ای دارد. اگر چه اطلاعات کاربران خانگی الزاما اطلاعات ارزشمندی برای هکرها و مجرمان سایبری نیست، اما به دلیل عدم آگاهی کاربران خانگی از رفتار سالم در فضای وب و نگه‌داری اطلاعات، به راحتی می‌توانند مورد حمله قرار بگیرند. توجه به این نکته ضرروی است که اهمیت اطلاعات تنها در مسائل امنیتی سازمانی یا کشوری مطرح نیست. مجموعه عکس‌ها و فایل‌های یک کاربر خانگی هم می‌تواند اهمیت ویژه‌ای برای آن کاربر داشته باشد.
هوش مصنوعی
با پیشرفت لحظه به لحظه‌ی تکنولوژی، تحلیل اتفاقات و عکس‌العمل‌های مختلف و مناسب به هرکدام از آن‌ها مستلزم پاسخ‌گویی‌هایی در مقیاس کسر ثانیه است. امروزه دیگر پیروی از یک الگوریتم مشخص و چارچوب‌های از پیش تعیین شده نه فقط برای ما انسان‌ها که برای کامپیوترها هم کاربردی ندارد. ما به کمک قوه‌ی تحلیل و تصمیم‌گیری خارق‌العاده‌مان می‌توانیم در شرایط مختلف، با درکِ آنی محیط، تصمیم‌هایی را با توجه به تجربیات خودمان یا دیگران بگیریم اما هنوز کامپیوترها و سیستم‌های تحت شبکه، به آن حد از هوش‌مندی انسان نرسیده‌اند. یکی از بهترین راه‌ها برای ایجاد هوش‌مندی‌ای مشابه هوش‌مندی انسانی، الهام گرفتن و تقلید از سیستم‌های هوش‌مند زیستی است. برای مثال سیستم‌ ایمنی بدن انسان، میزان هوش‌مندی این سیستم‌های زیستی به قدری است که هنوز نتوانسته‌ایم به عنوان هوش‌مندترین موجود آن‌ها را کامل درک، پیاده‌سازی و از آن تقلید کنیم.
آنتی‌ویروس‌های امروزه نمونه‌ی خوبی از تقلید انسان از سیستم ایمنی بدن است. سیستم ایمنی بدن در مواجهه با نفوذ موجود بیگانه، دو عکس‌العمل دارد. یا از پیش، نحوه‌ی برخورد با موجود بیگانه را که در حافظه‌ی جمعی سیستم ایمنی است، می‌داند و یا برای اولین بار با آن مواجه شده است. این که یک ویروس یا میکروب برای اولین بار وارد بدن انسان شود و سیستم ایمنی چه طور با آن مقابله کند، بخش اعظمی از هوش‌مندی سیستم ایمنی بدن را به کار می‌گیرد. (تشخیص موجود بیگانه، بررسی و تحلیل آن، استفاده از حافظه و تجربیات گذشته و پیدا کردن بهینه‌ترین راه‌حل در کوتاه‌ترین زمان ممکن بخشی از هوش‌مندی سیستم ایمنی انسان است که هنوز مایه‌ی شگفتی است.)
به تقلید از همین رویه ، آنتی‌ویروس‌های ساخته‌ی دست انسان نیز رفتار می‌کنند. اما با توجه به تولید روزانه ۳۱۵۰۰۰ بدافزار، طبیعتا نمی‌توان برای برخورد با تک‌تک این بدافزارها از رویه و دستورالعملی از پیش تعریف شده استفاده کرد. دقیقا در همین جاست که مبحث هوش‌مندی آنتی‌ویروس‌ها مطرح می‌شود.
بسیاری از ویروس‌ها و بدافزارها داری signature مخصوصی هستند که امکان شناسایی آن‌ها را راحت‌تر می‌کند. آنتی‌ویروس‌ها با بررسی امضاهای مشخص می‌توانند تشخیص دهند که آیا برنامه‌ی ذخیره شده یا اجرا شده یک بدافزار است یا نه. اما این روش تا زمانی کارآ بود که بدافزارها دارای signatureای مشخص بودند. امروزه بسیاری از بدافزارها دارای signature خاصی نبودند و به درجه‌ی بالاتری از هوش‌مندی جهت تشخیص آن‌ها نیاز است. این همان نقطه‌ای است که میزان موفقیت و کارآمدی آنتی‌ویروس‌های مختلف با هم مقایسه شده و در تصمیم‌گیری کاربران، به خصوص مدیران شبکه‌ها، تاثیر به سزایی دارد.
هوش مصنوعی در کسپرسکی
کسپرسکی به عنوان یکی ازبرندهای مطرح در زمینه‌ی امنیت شبکه و اطلاعات، از سال ۲۰۰۹ بخش مخصوصی را که توسط تیم هوش مصنوعی این شرکت طراحی شد در آنتی‌ویروس‌های خود قرار داده است. با تکامل این بخش در طی این سال‌ها، امروزه آن را با نام System Watcher می‌شناسیم، هوش مصنوعی آنتی‌ویروس که موظف است رفتارها و عملیات مشکوک را شناسایی و در مورد آن‌ها تصمیم‌گیری کند

kasper

System Watcher با جمع‌آوری اطلاعات درباره‌ی ایجاد و تغییرات فایل‌ها و سرویس‌های خود سیستم، تمامی تغییرات انجام شده در بخش registry سیستم، فراخوانی و انتقال داده در شبکه را رصد می‌کند. علاوه بر آن، به تحلیل محتوای packetها (بسته‌ها) که از طریق TCP انتقال داده می‌شوند می‌پردازد. اگر این سوال در ذهن شما مطرح شده است که چرا این پروتکل به خصوص مورد بررسی System Watcher قرار می‌گیرد، در پاسخ باید گفت که این پروتکل به عنوان اصلی‌ترین پروتکل در اینترنت در لایه‌ی transport است که در ردیابی هر نوع فعالیت مجرمانه‌ای استفاده شده است.
یکی از اجزای مهم System Watcher، ماژولی با نام BSS(Behavior Stream Signatures) است. با استفاده از این ماژول، System Watcher می‌تواند به صورت مستقل و با تحلیل داده‌ها، تصمیم بگیرد که آیا برنامه‌ای خراب‌کار یا بدافزار است یا خیر. علاوه بر آن، در راستای عملکرد بهتر و موثرتر، این ماژول به صورت متناوب در حال رد و بدل کردن اطلاعات با سایر اجزای محصول است. اجزایی مانند ماژول Web Antivirus، IM Anti-virus، سیستم جلوگیری از آلودگی HIPS و Firewall.
نتیجه‌ی این همکاری مداوم میان اجزای مختلف محصول کسپرسکی، راه‌حل‌های امنیتی بهتری در زمینه‌ی تشخیص بدافزار و جلوگیری از درز اطلاعات را ارائه کرده است.
از آن جایی که System Watcher به صورت مداوم به روزرسانی می‌شود، می‌تواند بهتر و سریع‌تر با تهدیدها و مشکلات جدید منطبق شود. این به روزرسانی‌ها بخشی از به روزرسانی پایگاه داده‌ی خود آنتی‌ویروس بوده و نیاز به هیچ زمان و تصمیمی از جانب کاربر ندارد.
قابلیت تشخیص بدافزار بودن نرم‌افزار با ماژول BSS به این شکل است که این ماژول رفتارهای لحظه‌ای برنامه را با رفتارهای شناخته شده از بدافزارها مقایسه می‌کند و در مورد آن‌ها حکم صادر می‌کند. به این نکته توجه کنید که System Watcher از آن جایی که سامانه‌ی هوش مصنوعی است، از تجربیات گذشته‌ی خود و دیگر System Watcherها در سراسر دنیا «می‌آموزد» و روز به روز رفتارها و تصمیم‌های خود را تکامل و بهبود می‌بخشد. این کار از طریق KSN شرکت کسپرسکی انجام می شود .

kasper1

هم‌چنین علاوه بر استفاده از روش‌های شناسایی استاندارد، System Watcher می‌تواند رفتارهای ذاتا خطرناک را شناسایی کند. برای مثال اگر برنامه‌ی مورد اعتمادی به دلیل حمله‌های Exploit حاوی تکه کدی ناامن باشد، هوش مصنوعی آن را تشخیص داده، از فعالیت آن جلوگیری می‌کند و در پیام اخطاری به کاربر علاوه بر آگاه‌سازی کاربر از خطر احتمالی، صدور نتیجه نهایی را به او واگذار می‌کند. البته در بخش تنظیمات هوش مصنوعی، کاربر می‌تواند از بین دو حالت تمام خودکار و تعاملی یکی را انتخاب کند. طبیعتا در حالت تعاملی دامنه‌ی تصمیمات و عملِ کاربر گسترده‌تر است.
از دیگر برگه برنده‌های کسپرسکی، عکس‌العمل سریع آن به بدافزارهای رمزنگار (Ransomware) است. بدافزارهایی که با حمله‌ی هوشمندانه به فایل‌ها مهم کاربر، مانند فایل‌ها حسابداری و محرمانه، آن‌ها را رمزنگاری می‌کند و در قبال پرداخت پول، وعده‌ی رمزگشایی آن‌ها را به کاربر می‌دهند. هوش مصنوعی محصول کسپرسکی به صورت خودکار نسخه‌ی پشتیبان‌ای از فایل‌ها و اطلاعات تهیه می‌کند تا دیگر نیازی به رمزگشایی فایل‌های قفل شده نباشد. علاوه بر این، این سامانه‌ی هوشمند با بررسی رفتارها می‌تواند تشخیص دهد که آیا رمزنگاری فایل‌ها از جانب بدافزار است و آیا نیازی به متوقف کردن تخریب فایل است یا خیر.
ماژول دیگری که نقش مهمی در هوش مصنوعی دارد به نام «زیرسیستم خودکار جلوگیری از Exploit » می‌باشد. تخصص این ماژول در این است که از سواستفاده‌ی بدافزارها از نقاط ضعف نرم‌افزارها و حتا نقاط ضعف Zero-Day جلوگیری کند. این بخش با بررسی نرم‌افزارهایی که بیش‌تر از سایر نرم‌افزارها مورد حمله هستند، مطمئن می‌شود که آیا تکه کد مشکوکی در حال فعالیت است یا نه و در صورت لزوم از فعالیت آن جلوگیری می‌کند. هم‌چنین این ماژول با استفاده از تکنولوژی Forced Address Space Layout Randomization امکان بارگذاری تکه‌کدهای بدافزار را داخل حافظه سخت می‌کند و در نتیجه از سواستفاده از نقاط ضعف سیستمی و نرم‌افزاری جلوگیری می‌کند.
ماژول بعدی، ماژول کنترل برنامه‌های جاواست. به دلیل حفره‌های امنیتی جاوا و محبوب بودن آن در سراسر دنیا، جلوگیری از سواستفاده از این حفره‌های امنیتی همواره یکی از مسائل حیاتی در امر امنیت بوده است. این ماژول که Java2SW نام دارد، دسترسی مستقیم به زیرساخت جاوا داشته و المان امنیتی اضافه‌ای را به تمامی JVMها اضافه می‌کند. این ماژول از درون برنامه، کد را بررسی کرده و اگر فعالیت مشکوکی را مشاهده کرد، بلافاصله از اجرای آن جلوگیری می‌کند.
علاوه بر تشخیص هوشمندانه و به موقع، System Watcher می‌تواند به گذشته برگردد و تغییرات بدافزار را با برگرداندن سیستم به وضعیت ثبت‌شده‌ی بی‌مشکل پیشین، خنثی کند. این وضعیت ثبت‌شده‌ی بی‌مشکل حاوی کلیدهای رجیستری، فایل‌های مهم ویندوزی، تغییرات MBR، ایجاد و تغییرات فایل‌های اجرایی است که به کاربر این اطمینان خاطر را می‌دهد که اگر به هر دلیلی امکان جلوگیری از رفتار مخرب بدافزار نبود، وضعیت امن و باثبات پیشینی وجود دارد که بتوان به آن بازگشت و تخریب‌های ایجاد شده را خنثی کرد.

گردآوری و ترجمه :
گلنوش شریفی
کارشناس فنی شرکت فناوری اطلاعات و ارتباطات آتنا

نوشته های مرتبط
یک نظر برای این نوشته موجود است

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

کد امنیتی *

برگشت به بالا