サイバーセキュリティにおける人工知能の応用

1956年、ダートマス大学で開催された会議で、コンピューターの専門家であるジョン・マッカーシーが初めて「人工知能」という用語を提唱し、これが人工知能の正式な誕生とも考えられています。それ以来、人工知能の発展は多くの紆余曲折を経験してきました。

人工知能の最初のピークは、ダートマス会議後の 10 年以上にわたる期間でした。コンピューターは、代数、幾何学、英語の問題を解くために数学と自然言語で広く使用されていました。多くの学者は、「20 年以内に、機械は人間ができるすべてのことをできるようになる」と信じていました。しかし、人工知能の開発はすぐに技術的なボトルネックに遭遇しました。第一に、コンピューターのパフォーマンスが不十分で、人工知能の分野では多くのプログラムが実行できませんでした。第二に、ディープラーニング用のデータが深刻に不足しており、インテリジェントなトレーニングをサポートできませんでした。第三に、人工知能プログラムは複雑な問題を処理する負担に圧倒されました。上記の理由により、人工知能の発展は 1970 年代に低迷しました。

人工知能の第2のピークは、カーネギーメロン大学が設計したXCONと呼ばれる「エキスパートシステム」によって代表されました。これは、完全な専門知識と経験を備えたコンピューターインテリジェンスシステムです。この期間中、エキスパート システム業界だけでも 5 億ドルの価値があり、Symbolics、Lisp Machines、IntelliCorp、Aion などのソフトウェアおよびハードウェア企業が誕生しました。しかし、1987 年までに、Apple 社と IBM 社が製造したデスクトップ コンピュータの性能は Symbolics 社などのメーカーが製造した汎用コンピュータの性能を上回り、エキスパート システムはその後人気を失ってしまいました。

人工知能の復活は、IBMのコンピュータシステム「ディープ・ブルー」がチェスの世界チャンピオンであるカスパロフに勝利したことに象徴されており、これは人工知能の発展における重要な節目です。 2016年にAlphaGoが囲碁チャンピオンのイ・セドルに勝利したことで、人工知能は新たな高みに到達した。過去3年間、人工知能はビジネス革命を引き起こしました。Google、Microsoft、Baiduなどのインターネット大手や、数多くのテクノロジー新興企業が人工知能戦場に参入し、次々とインテリジェントブームを巻き起こしています。人工知能技術はあらゆる分野で応用され始めています。ネットワークやセキュリティ分野での研究と応用もさまざまなテクノロジー企業に評価され、その応用価値が生まれ始めています。

ネットワーク分野における人工知能の応用

ネットワークにおける人工知能の最も重要な用途には、インテリジェントな運用と保守、ネットワークの高速化、ネットワークの最適化などがあります。

1. インテリジェントな運用と保守

インテリジェントな運用と保守は現在、人工知能の最も発達した最も価値のある応用であり、大手企業から注目を集めています。従来の運用保守方法には、監視、問題の発見、警報、障害処理など、さまざまな面で明らかな欠点があります。人間の経験に大きく依存し、作業効率が低く、データ収集、異常診断と分析、警報イベントと障害処理の効率を向上させる必要があります。人工知能とビッグデータ分析技術を組み合わせることで、人間の介入の程度を最小限に抑え、人件費を削減し、インテリジェントな監視、インテリジェントな問題の発見と警告、インテリジェントな障害処理における運用保守管理の効率を向上させることができます。

1) インテリジェントモニタリング

企業の IT システムの規模が拡大し、運用保守環境が複雑化するにつれて、運用保守担当者が膨大なデータから問題を見つけることがますます困難になります。インテリジェントな運用と保守により、運用と保守の担当者は、インテリジェントな異常検出、障害相関分析、障害根本原因分析、インテリジェントな異常予測などの機能を通じて、問題を迅速に特定し、障害の根本原因を追跡し、障害を予測して警告することができます。インテリジェントな異常検出を例にとると、履歴データモデルの異常検出などの方法と AI テクノロジを組み合わせることで、監視データから異常を自動的かつリアルタイムで正確に検出し、その後の障害分析と処理の基礎を提供することができます。

2) インテリジェントな問題検出と早期警告

障害の根本原因分析とは、障害を引き起こす可能性のある多くの要因の中から障害の根本的な原因を遡って追跡し、根本的な解決策を見つけることです。機械学習やディープラーニングの手法を使用すると、さまざまな要因間の強い相関関係を見つけ、これらの関係を使用してどの要因が基本的な要因であるかを推測できるため、ユーザーは問題を迅速に診断し、障害箇所の特定速度と修復効率を向上させることができます。

アラームに関して言えば、従来のアラーム管理では一般的に固定しきい値が使用され、運用および保守担当者による手動設定が必要です。この方法は作業負荷が大きいだけでなく、運用および保守担当者の経験に大きく依存します。しきい値の設定が不適切だと、アラームストームやアラームの見逃しなどの結果につながる可能性があります。監視環境が変化すると、元の固定しきい値ではアラーム管理の要件を満たすことができなくなります。インテリジェントな運用とメンテナンスは、動的ベースラインアラーム方式を採用し、データの動的制限をインテリジェントに分析することで、以前に人為的に設定された固定しきい値の欠陥を補います。データの開発傾向とデータの動的制限をインテリジェントに分析することで、アラームに対してインテリジェントな判断を下し、柔軟性と適用性を高めます。

3) インテリジェントなトラブルシューティング

インテリジェントな障害処理の観点から見ると、従来の運用保守管理における障害処理は運用保守担当者の経験に大きく依存していますが、人間の経験ではすべての障害範囲をカバーできません。運用保守担当者の経験が不十分だと、運用保守効率が低下したり、誤った判断を下したりする可能性があります。インテリジェントな運用と保守は、リアルタイムの監視結果または予測結果をインテリジェントな専門家の意思決定システムに導入し、意思決定の提案をインテリジェントに生成し、実際の結果と傾向に基づいて採用する処理戦略を決定します。手動または自動処理が可能で、問題のトラブルシューティングにかかる​​時間を効果的に短縮し、問題解決の効率を大幅に向上させ、企業の運用と保守の標準化を向上させます。

2. ネットワークの高速化

ネットワーク高速化における人工知能の最も重要な応用は、強化学習の考え方を利用して、ネットワークプロトコルの輻輳制御アルゴリズムに深く関与し、さまざまなアプリケーションの伝送速度を加速し、ネットワーク帯域幅の利用率を向上させ、ネットワーク遅延を減らすことです。その典型的な応用は、強化学習を使用してTCPのネットワーク輻輳アルゴリズムを改善することです。 TCP はスロースタートと高速回復という特性を持っていますが、高速回復には輻輳ウィンドウを直接半分にするという代償が伴い、TCP 伝送帯域幅が鋸歯状になり、伝送帯域幅が不安定になります。強化学習は、パケット損失予測を通じて輻輳ウィンドウを適応的に調整し、輻輳ウィンドウがより狭い範囲内で安定的に変動するようにすることで、TCP 伝送の合計帯域幅と遅延を保証します。海外の関連論文では、従来のTCP輻輳アルゴリズムと比較して、強化学習ベースの方法は伝送帯域幅を30％以上増加させ、エンドツーエンドの遅延を7％削減できることが指摘されています。図1はテスト効果図です。

図1 強化学習と一般的なTCP輻輳アルゴリズムのテストの比較

図1では、赤色は通常のNewRenoアルゴリズムを使用したテスト結果であり、緑色は強化学習を使用したLP-TCPを使用したテスト結果です。図1から、強化学習に基づくTCP輻輳ウィンドウが非常に安定していることが明確にわかります。そのため、ネットワーク帯域幅の利用率を向上させることができます。同時に、輻輳ウィンドウの安定性により、デバイスのキューの深さも安定したレベルに維持され、エンドツーエンドの遅延も短縮されます。

3. ネットワークの最適化

ネットワーク最適化における人工知能の応用には、主に転送パスの最適化、リソースの最適化、トラフィックの最適化が含まれます。従来の ECMP アルゴリズムは、一般的に 5 重原理に基づいてハッシュ計算を実行します。大きなフローが同じパスにハッシュされると、パス トラフィックの非対称性が発生しやすく、トラフィック バランシングが達成されません。ただし、人工知能テクノロジを導入すると、リンクのリアルタイム帯域幅を考慮し、各フローの転送パスを動的に計算できるため、どのようなトラフィック状況でもリンク トラフィック バランシングが達成され、従来のハッシュ アルゴリズムの欠点を回避できます。海外の学者や専門家の中には、従来のルーティングプロトコル（OSPFなど）に代わるルーティング計算を実行するための強化学習手法の使用を研究している人もいます。リソース最適化の面では、人工知能は無線コアネットワークのリソース割り当て、無線チャネルの利用、転送チップパケットキャッシュの動的調整において優れたパフォーマンスを発揮し、リソース利用率を効果的に向上させ、環境や圧力に応じてリソース割り当てを自動的に調整して、リソース利用率が常に最適な状態になるようにします。

セキュリティアプリケーションにおける人工知能

人工知能はセキュリティ分野で広く使用されており、独自の価値と利点を持っています。たとえば、暗号化されたトラフィックの脅威識別や APT (高度な持続的脅威) 識別の問題では、従来のルールベースおよび特徴マッチング方法はまったく効果がなく、識別するには人工知能の方法に頼る必要があります。同時に、人工知能は、詐欺検出、マルウェア検出、侵入検知、ネットワークリスクスコアリング、ユーザー/マシンの動作分析においても重要な応用価値を持っています。以下では、セキュリティ分野における人工知能の代表的な 2 つの応用例を紹介します。

1. 暗号化されたトラフィックの脅威検出

現在、インターネット上のトラフィックの 50% 以上が暗号化されています。暗号化はプライバシーを保護する重要な手段です。暗号化により、私たちのデータがスパイされることを防止できますが、犯罪者に悪用される機会も与えてしまいます。暗号化は、他の情報を隠すのと同様にマルウェアを隠すことができるため、一連のセキュリティ問題を引き起こします。従来の DPI (ディープ パケット インスペクション) では、元のパケットを復号化する必要がありますが、これは不可能な作業です。特徴抽出と動作分析手法に基づく人工知能は、メッセージを復号化せずにマルウェアの特徴を抽出し、有害な脅威を識別できます。 HTTPS トラフィックを例にとると、TLS 接続の初期データ パケット情報、データ パケットの長さと時間のシーケンス、ペイロード上のバイト分布などの特徴データを抽出することで、図 2 に示すように、人工知能モデル推論を通じて暗号化トラフィック内の悪意のあるトラフィックを検出できます。

図2: 抽出されたTLS接続データパケットを人工知能で分析する

2. APT攻撃防止検出

APT 攻撃には、従来のネットワーク攻撃とは異なる 5 つの特徴があります。標的が高度、組織が緊密、持続時間が長い、隠蔽性が高い、間接的な攻撃です。攻撃者は防御側の侵入検知機能に適応し、侵入方法を絶えず変更および改善し、強力な隠蔽機能を備えています。攻撃の進入、経路、時間は不確実で予測不可能であるため、特徴マッチングに基づく従来の検出および防御技術では攻撃を効果的に検出することが難しく、新しい検出技術を導入する必要があります。この点において、人工知能は独自の優位性を発揮できます。特徴抽出と動作分析をサンドボックスとビッグデータ分析技術と組み合わせることで、C&C異常、Web異常、隠れチャネル、電子メールとトラフィックの異常検出などを正確に判断し、ランサムウェア、OceanLotus、Stuxnet、BlackEnergy、Google AuroraなどのAPT攻撃を効果的に識別してブロックできます。

さらに、人工知能強化学習の利点を活用することで、プロアクティブなセキュリティ防御システムを構築し、改善することができます。今日のサイバー攻撃やウイルスは不安定であり、受動的な防御ではネットワーク セキュリティの現在の要件を満たすことができなくなりました。能動的な防御がトレンドとなり、必要不可欠なものとなっています。人工知能の学習機能と進化機能により、差し迫った攻撃や未知の攻撃行動に対するセキュリティ戦略と脅威インテリジェンスを有機的に組み合わせ、最終的にはインテリジェントでプロアクティブなセキュリティ防御システムを実現できます。

結論

現在最もホットな技術の一つとして、ネットワークとセキュリティにおける人工知能の応用と探求はまだ進行中ですが、ネットワークインテリジェンスとセキュリティインテリジェンスのトレンドは止められず、その中で人工知能は不可欠な役割を果たしています。もちろん、人工知能は万能ではなく、ある程度まで発展するとマイナスの影響をもたらす可能性もあることも認識しなければなりません。