Künstliche Intelligenz 01.04.2019

Die Zukunft der Virenscanner, oder warum es Mathematik und eine KI benötigt.

Heutzutage gelten Antivirenprogramme als state-of-the-art. Jedes Unternehmen schützt seine Clients, Server und/oder seine Gateway mit einem Antivirenprogramm. Diese bringen brav Meldungen, dass diverse Dateien gefunden, bereinigt oder in Quarantäne verschoben wurden. Somit ist der Admin beruhigt und auch die Geldgeber sehen, dass es funktioniert und fühlen sich in der Investition bestätigt. Stellt sich nur die Frage, wie lange geht das noch gut?

Artikel teilen

Prinzipiell für immer. Aber wir müssen die Idee und die Technologie verändern, da klassische, patternbasierte Virenscanner zu langsam und zu leicht zu umgehen sind. Der große Nachteil dieser patternbasierten Scanner ist, dass wir damit nur schon bekannte Viren finden und blockieren können. Da sich Angriffsmuster heute ständig ändern und bekannte Viren mit nur einer "0" mehr von Pattern- und Hash-Wert-Erkennungen nicht mehr gefunden werden, braucht es neue Denkansätze. Ja, wir können alle neue Pattern mit einer konstanten Internetanbindung immer wieder nachladen oder ganzen Dateien zur Analyse in die Cloud schicken, aber leider funktioniert das in abgeschotteten Netzwerken und im Urlaub von Mitarbeitern nicht.

 

Wie können wir diese Probleme in Zukunft lösen? Wie wäre es, wenn wir Angriffe ohne konstante Onlineverbindungen und ständige Updates erkennen könnten? Wenn wir nicht warten müssen bis etwas ausgeführt wird, um dann zu entscheiden, ob es Gutes tut oder nicht.

 

Vorhang auf für die KI.

Helfen kann uns hier nur eine Künstliche Intelligenz. Eine KI kann aus vergangenen Angriffen lernen und diese auch innerhalb einer neuen, noch nie gesehenen Datei erkennen. Die KI muss nicht konstant online sein und ist durch ihr mathematisches Modell auch auf Clients, Servern und virtuellen Systemen noch äußerst performant. Doch wie kann die KI Angriffe von morgen erkennen und verhindern?

 

Durch viele gute und schadhafte Daten muss eine KI trainiert werden. Sie kann bei einer neuen und unbekannten Datei aufgrund ihrer trainierten Algorithmen die Entscheidung treffen, ob diese gut oder schlecht ist.

 

Wie das Bild von Hund und Katz.

Vergleichen kann man dies mit der menschlichen Erkennung von Hunden und Katzen. Wir haben im Laufe der Zeit unser Gehirn mit vielen Beispielen von Hunden und Katzen trainiert, nicht das Tier als Ganzes zu sehen, sondern auf Merkmale des Tieres zu schauen und dann zu entscheiden ob es ein Hund oder eine Katze ist. Dieses Vorgehen kann auf eine KI übertragen werden, die deshalb in der Lage ist, gute von schadhaften Dateien zu unterscheiden, bevor diese ausgeführt werden. Merkmale einer Datei können die Struktur, der verwendeten Compiler oder auch die Zeitzone sein, in der die Datei erstellt wurde. Die KI bringt also viele Vorteile für die Malwareerkennung schon mit und eignet sich daher bestens zu diesem Zweck.

 

Mit Cylance können wir auf einen etablierten Hersteller einer solchen KI mit sieben Jahren Erfahrung beim Training der KI zurückgreifen. Cylance führt die Erkennung und Entscheidung direkt auf dem Client, ohne Internetanbindung oder Updates, durch. Cylance benötigt für diese Entscheidung zirka 100ms pro Datei und dabei nur ein vierzigstel der IOPs eines klassischen AV Scanners. Tests haben ergeben, das WanaCry mit einer bis zu 20 Monate alten Version der KI von Cylance bereits erkannt wurde. Dies allein anhand der Merkmale der Malware. Somit ist es möglich, neue Angriffe, welche in Zukunft kommen werden, auch heute schon zu erkennen und zu verhindern.

cristoph-barreith.png
Christoph Barreith
Presales Consultant