El aprendizaje automático (machine learning) está teniendo muchas aplicaciones en el campo de la ciberseguridad. Se está creando un auténtico ecosistema de nuevas startups (p.e. Darktrace) que están trasladando los beneficios del machine learning a la industria pujante y necesaria de la ciberseguridad.
Uno de los aspectos más discutidos es el uso de técnicas de machine learning en sistemas de detección de intrusos (IDS). Los IDS suelen usar dos técnicas básicas de detección: Basados en reglas, analizan paquetes de red y los comparan con reglas de ataques conocidas, y basados en heurística (anomalías), donde construyen un perfil normal de la red (ancho de banda usado, protocolos, puertos, dispositivos, etc.) y alertan cuando la actividad de la red se aleja del perfil normal.
Una desventaja clara de los sistemas basados en reglas es que si el atacante modifica un patron de ataque ya conocido generando una nueva firma, el sistema no lo detectará. Y es aquí donde los sistemas que utilizan machine learning para detección de anomalías podrían anticipar y detectar nuevos ataques.
La idea de poder detectar nuevos ataques es lo que hace esta nueva aplicación del machine learning tan atractiva. Sin embargo, como ya se encargaron de recordarnos Sommer y Paxson en “Outside the Closed World: On Using Machine Learning for Network Intrusion Detection” esta solución presenta muchos retos como:
- Es muy difícil establecer un patrón normal de comportamiento. Cualquier outlier (valor atípico) que sea legítimo generará un falso positivo.
- Se producen muchos falsos positivos que desperdician mucho tiempo de análisis. Además, los falsos negativos supondrían una seria amenaza.
- Mientras que en los sistemas basados en reglas cuando ocurre una alerta el analista sabe exactamente el patrón que la ha generado, en los basados en anomalías es difícil interpretar qué ha generado el comportamiento anormal.
- Es difícil encontrar suficientes datos etiquetados para entrenar al sistema.
- Los atacantes pueden intentar engañar al sistema y que considere como normal tráfico peligroso o fraudulento.
Es necesario tener precaución al importar técnicas como el machine learning que son utilizadas en entornos estacionarios y controlados a entornos con mucha variabilidad.
Por lo tanto, el uso de estos nuevos sistemas de detección de intrusiones es recomendable si se entienden muy bien las amenazas, se tiene un enfoque concreto y se usan como complemento a las herramientas tradicionales.
Deja una respuesta