В «Лаборатории Касперского» мы регулярно анализируем новые технологии и ищем им применение в сфере кибербезопасности. В этом посте я хочу рассказать о том, как для нужд безопасности можно использовать онтологии — и что это вообще такое. Пусть этот подход пока не очень популярен (это лишь вопрос времени), однако он способен существенно упростить и ускорить многие процессы.
Что такое онтология — с точки зрения информационных систем
С научной точки зрения онтология — это систематизированное описание всех терминов определенной предметной области, их свойств и отношений между ними. Например, это может быть описание всех героев вселенной «Марвел», их атрибутов (сверхспособности, оружие, слабые стороны), взаимоотношений и уровня влияния друг на друга. Да и вообще, онтология может описать что угодно — от вина до энергетических сетей.
Чем могут быть полезны онтологии в информационных системах? Тем, что, используя специальный язык (например, OWL, Web Ontology Language), можно разработать инструменты описания и анализа онтологий для выявления скрытых связей, недостающих деталей или других неочевидных вещей. Если вернуться к примеру с комиксами: с помощью анализа онтологии вселенной «Марвел» мы сможем найти наилучшую команду из супергероев и одержать победу над врагом с минимальными усилиями.
Например, для этого нам подошла бы платформа Protégé, разработанная в Стэнфордском университете. Изначально она предназначалась для анализа биомедицинских данных, а в настоящее время это бесплатный проект с открытым исходным кодом для создания онтологий любых областей знаний.
В чем разница между онтологиями и машинным обучением?
Вам может показаться, что у инструментов для работы с онтологиями много общего с алгоритмами машинного обучения, но есть существенное различие. Модели машинного обучения анализируют большой массив данных — и на его основе делают прогноз относительно новых объектов. Например, модель просматривает 100 вредоносных писем и выделяет в них конкретные параметры. Когда модель видит новое электронное письмо с некоторыми из этих параметров, она делает вывод, что оно тоже вредоносное.
Онтология тоже анализирует данные, но вместо прогнозов она указывает на информацию, которая логически вытекает из заданных параметров. Она не учится и не использует предыдущий опыт для анализа информации. Если мы укажем в онтологии, что письмо А — фишинговое и что все фишинговые письма вредоносные, а затем заявим, что письмо В — фишинговое, то онтология предложит единственный логический вывод: письмо В — вредоносное. Если мы предложим проанализировать письмо С, но не дадим никаких характеристик, результат будет нулевым.
Онтологии и машинное обучение могут отлично дополнять друг друга: например, онтологии позволяют оптимизировать и ускорять модели машинного обучения. Благодаря имитации логических рассуждений и способности автоматически классифицировать и связывать информацию они значительно упрощают процесс обучения моделей. А использование онтологических аксиом — правил, описывающих взаимоотношение понятий, — помогает сузить область поиска решения, тем самым сэкономив время.
Как еще можно использовать онтологии в кибербезопасности?
В кибербезопасности онтологии также используются для выявления скрытых возможностей или слабых сторон. При помощи онтологий можно проанализировать инфраструктуру компании с точки зрения защищенности от конкретной киберугрозы, например программ-вымогателей. Для этого на платформе создаем онтологию (подробное описание) мер защиты от вымогателей и синхронизируем со списком действующих защитных мер организации.
Точно таким же образом, как и в примере с анализом героев «Марвел», онтология покажет, достаточно ли защищена инфраструктура и требуются ли доработки. Аналогично можно протестировать, отвечает ли система ИТ-безопасности стандартам IEC, NIST или другим. Это же можно делать и вручную, но такая проверка будет гораздо дольше и затратнее.
Также онтологии упрощают жизнь специалистов по информационной безопасности еще и в том плане, что они позволяют им говорить друг с другом на одном языке. Онтология кибербезопасности поможет узнать о проблемах и атаках, с которыми сталкивались другие специалисты, и грамотно внедрить защитные меры. Кроме того, онтологии полезны при создании архитектуры информационной безопасности с нуля — имея систематизированное представление обо всех уязвимостях, атаках и их связях, эксперты могут эффективней выстраивать защиту.
Может показаться, что онтологии — это что-то далекое и сложное, но поверьте, вы сталкиваетесь с ними почти каждый день. Например, когда ищете что-то в Интернете. Именно онтологии лежат в основе семантического поиска. Проще говоря, они позволяют обрабатывать запрос целиком, а не через значение отдельных слов, что значительно улучшает качество поисковой выдачи. Аналогичные технологии использует Pinterest — социальная сеть для обмена изображениями. Она анализирует действия и реакции своих пользователей, а затем использует эти данные для совершенствования рекомендаций и таргетированной рекламы.
Это далеко не все примеры использования онтологий — они могут применяться в самых разных областях. Мы в «Лаборатории Касперского» заинтересованы не только перспективой развития онтологий в кибербезопасности, но и за ее пределами — это огромные возможности для бизнеса.