Алгоритмы машинного обучения (МО) сейчас применяются везде, поскольку оно используется при решении практически каждого вопроса безопасности ИТ, потому и сфера кибербезопасности не стоит в стороне от процесса освоения технологий машинного обучения. Поговорим об особенностях их применения именно для решения задач обеспечения кибербезопасности. Мы опишем пару сценариев, которые в современном мире без МО немыслимы.   Предметная область Детектирование угроз на стороне клиента Общая схема такова: в вирусной лаборатории обрабатывается большое количество объектов (миллион новых в сутки), они теми или иными методами классифицируются на чистые, вредоносные и нежелательные. В результате модель, которая используется для подобной классификации в антивирусном ПО, постоянно дообучается, затем оптимизируется и в виде обновлений антивирусных баз доставляется на сторону продукта клиента. Далее продукт клиента с помощью этой модели классифицирует все подозрительные файлы на машине пользователя [1]. В этом случае средства защиты, установленные у клиента, используют не статические сигнатуры вредоносных программ, а своеобразную ИИ-модель для классификации объектов информационной системы. Поиск аномалий Существует другой базовый сценарий – поиск аномалий в сети организации клиента для выявления целевых атак на компанию. В сети на рабочих станциях и серверах расставлены сенсоры, которые фиксируют события: сетевые, файловые и др. В потоке событий модель пытается выявить нетипичное поведение и либо заблокировать его, либо обратить на него […]