ГЛАВА 2. Алгоритмы машинного обучения

• 
  целостность: предотвращать доступ злоумышленника от ресурсов системы.
  
• 
  доступность: предотвращать вмешательство злоумышленника в нормальную работу.
  

• 
  Обучение с учителем (англ. Supervised learning) - это способ машинного обучения, в котором используются размеченные наборы данных (проклассифицированные объекты с выделенными характерными признаками), для которых некий «учитель» (человек или обучающая выборка) указывает правильные пары «вопрос-ответ», на основании чего требуется построить алгоритм предоставления ответов на дальнейшие аналогичные вопросы
  
• 
  Обучение без учителя (англ. Unsupervised learning) - это способ машинного обучения, в котором не используются размеченные наборы данных, не указаны правильные пары «вопрос-ответ», а от информационной системы требуется на основании известных свойств объектов найти различные взаимосвязи между ними
  
• 
  Обучение с частичным привлечением учителя (англ. Semi-supervised learning) - способ машинного обучения, в котором комбинируется небольшое количество размеченных наборов данных и большое количество неразмеченных. Такой подход оправдан тем, что получение качественных размеченных дата-сетов является достаточно ресурсоемким и длительным процессом
  
• 
  Обучение с подкреплением (англ. Reinforcement learning) - частный случай обучения с учителем, при котором «учителем» является среда функционирования, дающая обратную связь информационной системе в зависимости от принятых ею решений.
  

1. 
   Глубокое обучение (англ. Deep learning) - это частный случай машинного обучения, в котором используется сложная многослойная искусственная нейронная сеть для эмуляции работы человеческого мозга и обработки речи (англ. natural language processing), звуковых (англ. speech recognition) и визуальных образов (англ. computer vision). Машинное зрение (computer vision) в настоящее время широко используются в системах обеспечения безопасности, контроля транспорта и пассажиров. Системы обработки речи (natural language processing) и распознавания слов (speech recognition) помогают голосовым ассистентам Сири или Алисе отвечать на вопросы пользователей.
   
2. 
   Большие данные (Big Data) - большой объем структурированных и неструктурированных данных в цифровом виде, характеризующийся объемом (volume), скоростью изменения (velocity) и разнообразием (variety). Для обработки Big Data могут применяться специализированные программные инструменты, такие как Apache Hadoop / Storm / Spark, Kaggle, СУБД класса NoSQL. Считается, что для повышения business-value при использовании Big Data требуется перейти от разнородных данных к структурированной информации, а затем - к знаниям (сведениям). Обработанный, структурированный и размеченный dataset, полученный из релевантного массива Big Data, является необходимым (и одним из самых ценных) компонентом для машинного обучения в современных системах.
   
3. 
   Глубокий анализ данных (Data mining) - структурирование и выделение полезной информации из разнородной и неструктурированной массы данных, в том числе из Big Data.
   
4. 
   Нечёткая логика (англ. Fuzzy logic) - применение нестрогих правил и нечётких ответов для решения задач в системах искусственного интеллекта и нейронных сетях. Может применяться для моделирования поведения человека, например, для сужения или ограничения условий поиска ответа на вопрос в зависимости от контекста.
   

Использование искусственного интеллекта в ИБ обосновано прежде всего двумя факторами: необходимостью оперативного реагирования при наступлении киберинцидента и нехваткой квалифицированных специалистов по киберзащите. Действительно, в современных реалиях довольно сложно заполнить штатное расписание квалифицированными специалистами по ИБ с необходимым опытом, а масштабные инциденты ИБ могут развиваться стремительно: счет зачастую идет на минуты. Если в компании отсутствует круглосуточная дежурная смена аналитиков ИБ, то без системы оперативного автономного реагирования на киберинциденты будет затруднительно обеспечить качественную защиту в нерабочее время. Кроме того, злоумышленники перед своей атакой могут выполнить отвлекающий маневр - например, запустить DDoS-атаку или активное сетевое сканирование, отвлекая киберспециалистов. В таких ситуациях поможет система реагирования на киберинциденты на основе искусственного интеллекта, которая может одновременно обрабатывать большое количество событий ИБ, автоматизировать рутинные действия аналитиков ИБ и обеспечивать оперативное реагирование на инциденты без участия человека. Например, в нашем IRP/SOAR-решении Security Vision широко применяются механизмы искусственного интеллекта и машинного обучения: обученная на ранее решенных инцидентах платформа сама предложит аналитику подходящее действие по реагированию в зависимости от типа киберинцидента и его свойств, будет назначена оптимальная команда реагирования из коллег, обладающих наиболее релевантными знаниями, а в случае обнаружения нетипичных подозрительных событий система сама создаст соответствующий инцидент и оповестит о нем сотрудников ИБ-департамента.