![\"How](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2016\/11\/06093652\/machine-learning-featured-2-1024x672.jpg\")
<\/a><\/p>\nLa technologie est une question de rapidit\u00e9 et d\u2019uniformit\u00e9, rien de bien sorcier. Et puisque l\u2019apprentissage automatique est fond\u00e9 sur la technologie, il est plut\u00f4t facile de l\u2019expliquer en termes humains. Passons donc aux choses s\u00e9rieuses. Nous r\u00e9soudrons un vrai probl\u00e8me \u00e0 l\u2019aide d\u2019un m\u00e9canisme d\u2019algorithme, l\u2019apprentissage automatique bas\u00e9 sur un algorithme. Le concept est assez simple, et d\u00e9livre de vraies informations pr\u00e9cises.<\/p>\n
Probl\u00e8me\u00a0: distinguer un texte compr\u00e9hensible du charabia <\/strong><\/p>\n Un texte \u00e9crit par un humain ressemble \u00e0 \u00e7a (dans ce cas, des \u00e9crits de Terry Pratchett)\u00a0:<\/p>\n Give a man a fire and he\u2019s warm for the day. But set fire to him and he\u2019s warm for the rest of his life (Allumez un feu pour quelqu\u2019un et il sera au chaud pour le reste de la journ\u00e9e. <\/em>Mettez \u00e0 feu un homme et il sera au chaud pour le restant de sa vie<\/em>). Du charabia ressemble \u00e0 \u00e7a\u00a0:<\/p>\n Notre t\u00e2che est de d\u00e9velopper l\u2019apprentissage automatique qui pourrait les distinguer.<\/strong> Puisque nous traitons ce sujet dans le contexte de la s\u00e9curit\u00e9 informatique, le principal objectif d\u2019un logiciel antivirus est de trouver un code malveillant parmi une grande quantit\u00e9 de donn\u00e9es propres, nous d\u00e9signerons donc un texte compr\u00e9hensible comme \u00e9tant \u00ab\u00a0propre\u00a0\u00bb et du charabia comme \u00e9tant \u00ab\u00a0malveillant\u00a0\u00bb.<\/p>\n Cela semble \u00eatre une t\u00e2che ais\u00e9e pour un humain dans la mesure o\u00f9 il peut voir imm\u00e9diatement lequel est \u00ab\u00a0propre\u00a0\u00bb et lequel est \u00ab\u00a0malveillant\u00a0\u00bb. Cependant, il s\u2019agit d\u2019un vrai d\u00e9fi de formaliser la diff\u00e9rence, ou plus encore, d\u2019expliquer la diff\u00e9rence \u00e0 un ordinateur. Dans ce cas, on utilise l\u2019apprentissage automatique : on \u00ab\u00a0alimente\u00a0\u00bb l\u2019algorithme de quelques exemples et le laissons apprendre de ces derniers, dans le but qu\u2019il soit capable de donner la bonne r\u00e9ponse \u00e0 la question.<\/p>\n Solution\u00a0: utiliser un algorithme <\/strong><\/p>\n Notre algorithme calculera la fr\u00e9quence d\u2019une lettre en particulier suivie d\u2019une autre lettre, afin d\u2019analyser toutes les paires de lettres possibles. Par exemple, pour notre premi\u00e8re phrase \u00ab\u00a0Give a man a fire and he\u2019s warm for the day. But set fire to him and he\u2019s warm for the rest of his life\u00a0\u00bb, qui est connue pour \u00eatre propre, la fr\u00e9quence de paires de lettres ressemblera comme suit\u00a0:<\/p>\n Bu \u2014 1 Pour faire simple, on ignore les points et les espaces. Par cons\u00e9quent, dans la phrase, a<\/em> est suivi de n<\/em> trois fois, f<\/em> est suivi de i<\/em> deux fois, tandis que \u0430<\/em> est suivi de y<\/em> une fois.<\/p>\n A ce stade, on comprend qu\u2019une phrase n\u2019est pas suffisante pour faire apprendre notre mod\u00e8le\u00a0: les combinaisons de lettres ne sont pas nombreuses, et la diff\u00e9rence dans les fr\u00e9quences est minime. Par cons\u00e9quent, nous devons analyser un texte plus long. Comptons donc les paires de lettres dans \u00ab\u00a0Autant en emporte le vent\u00a0\u00bb (Gone with the Wind<\/em>) de Margaret Mitchell (ou pour \u00eatre pr\u00e9cis, 20% du d\u00e9but du livre). En voici quelques-unes\u00a0:<\/p>\n he \u2014 11460 Comme vous pouvez le constater, la probabilit\u00e9 de rencontrer la combinaison he<\/em> est deux fois plus \u00e9lev\u00e9e que celle de an<\/em>. Et wc<\/em> n\u2019appara\u00eet qu\u2019une seule fois, dans newcomer<\/em>.<\/p>\n A pr\u00e9sent que nous avons un mod\u00e8le d\u2019un texte propre, comment l\u2019utiliser\u00a0? Premi\u00e8rement, afin de d\u00e9finir la probabilit\u00e9 d\u2019une ligne, si elle est \u00ab\u00a0propre\u00a0\u00bb ou \u00ab\u00a0malveillante\u00a0\u00bb, nous d\u00e9finirons son authenticit\u00e9<\/em>. Nous prendrons chaque paire de lettres provenant de cette ligne, d\u00e9finirons sa fr\u00e9quence \u00e0 l\u2019aide d\u2019un mod\u00e8le (en \u00e9valuant \u00e0 quel point une dite combinaison de lettres est r\u00e9aliste) et multiplierons ensuite ces chiffres\u00a0:<\/p>\n Lorsqu\u2019on d\u00e9termine la valeur finale de l\u2019authenticit\u00e9, on prend \u00e9galement en compte le nombre de symboles dans la ligne : plus elle est longue et plus on multiplie de chiffres. Par cons\u00e9quent, pour rendre cette valeur appropri\u00e9e de mani\u00e8re \u00e9gale pour les petites et grandes lignes, nous faisons quelques tours de magie math\u00e9matique, (on extrait la racine carr\u00e9e de ladite mesure qui est la \u00ab\u00a0largeur de la ligne en question moins un\u00a0\u00bb du r\u00e9sultat).<\/p>\n Utiliser le mod\u00e8le <\/strong><\/p>\n A pr\u00e9sent, nous pouvons en tirer quelques conclusions\u00a0: plus le chiffre qu\u2019on calcule est \u00e9lev\u00e9 et plus la ligne en question rentre dans notre mod\u00e8le. Par cons\u00e9quent, la plus \u00e9lev\u00e9e est probablement celle \u00e9crite par un humain, on peut donc l\u2019appeler propre<\/em>.<\/p>\n Si la ligne en question contient un grand nombre suspicieux de combinaisons rares (comme wx, zg, yg,<\/em> etc.), il y a des chances pour qu\u2019elle soit malveillante<\/em>.<\/p>\n Pour la ligne que nous avons choisie pour l\u2019analyse, la probabilit\u00e9 (\u00ab\u00a0authenticit\u00e9\u00a0\u00bb), mesur\u00e9e en points, est la suivante\u00a0:<\/p>\n Comme vous pouvez le constater, les lignes propres <\/em>ont totalis\u00e9 un score de plus de 1000 points, tandis que les malveillantes <\/em>ont fait moins de 100 points. Il semblerait que notre algorithme ait fonctionn\u00e9 comme pr\u00e9vu.<\/p>\n Pour remettre des scores \u00ab\u00a0\u00e9lev\u00e9s\u00a0\u00bb et \u00ab\u00a0faibles\u00a0\u00bb dans leur contexte, la meilleure fa\u00e7on est de d\u00e9l\u00e9guer ce travail \u00e0 la machine et de la laisser apprendre. Pour cela, nous soumettrons un nombre de vraies lignes \u00ab\u00a0propres\u00a0\u00bb et calculerons leur authenticit\u00e9, et soumettrons ensuite de vraies lignes malveillantes et ainsi de suite. Puis nous calculerons le point de comparaison de l\u2019\u00e9valuation. Dans notre cas, il \u00e9quivaut \u00e0 500 points environ.<\/p>\n Dans la vraie vie\u00a0 <\/strong><\/p>\n Faisons un r\u00e9capitulatif de ce que nous venons de faire.<\/p>\n 1.\u00a0<\/b>Nous avons d\u00e9fini des indicateurs de lignes propres (c\u2019est-\u00e0-dire des paires de lettres).<\/strong><\/p>\n Dans la vraie vie, lorsqu\u2019un antivirus op\u00e9rationnel est d\u00e9velopp\u00e9, les analystes d\u00e9finissent \u00e9galement des indicateurs de fichiers et d\u2019autres objets. A propos, fait tr\u00e8s important\u00a0: le niveau d\u2019expertise et d\u2019exp\u00e9rience des chercheurs influence directement sur la qualit\u00e9 des indicateurs. Par exemple, qui a dit qu\u2019il fallait analyser les lettres par paires et non par trois\u00a0? De telles hypoth\u00e8ses abstraites sont \u00e9galement \u00e9valu\u00e9es dans des laboratoires antivirus. J\u2019ajouterai que chez Kaspersky Lab nous utilisons l\u2019apprentissage automatique pour s\u00e9lectionner les meilleurs indicateurs et ceux compl\u00e9mentaires.<\/p>\n 2. Nous avons utilis\u00e9 des indicateurs d\u00e9finis pour concevoir un mod\u00e8le math\u00e9matique, que nous avons appris \u00e0 partir d\u2019un ensemble d\u2019exemples.<\/strong><\/b><\/p>\n Bien s\u00fbr, dans la vraie vie, nous utilisons un peu plus de mod\u00e8les complexes. A pr\u00e9sent, les meilleurs r\u00e9sultats proviennent d\u2019un arbre de d\u00e9cision con\u00e7u par la technique du Gradient boosting<\/a>, cependant notre recherche de la perfection fait que nous ne nous reposons pas sur nos lauriers.<\/p>\n 3.\u00a0<\/b>Nous avons utilis\u00e9 un mod\u00e8le math\u00e9matique pour calculer le taux d\u2019\u00a0\u00ab\u00a0authenticit\u00e9\u00a0\u00bb.<\/strong><\/p>\n Pour \u00eatre honn\u00eate, dans la vraie vie, on fait exactement l\u2019oppos\u00e9, c\u2019est-\u00e0-dire en calculant le taux \u00ab\u00a0malveillant\u00a0\u00bb. A premi\u00e8re vue, \u00e7a n\u2019a pas l\u2019air si diff\u00e9rent, mais imaginez \u00e0 quel point une ligne serait inauthentique dans une autre langue ou un alphabet ressemblant \u00e0 notre mod\u00e8le. Dans le m\u00eame temps, un antivirus ne peut pas produire de faux positifs lorsqu\u2019il v\u00e9rifie toute une nouvelle classe de fichiers tout simplement parce qu\u2019il ne les conna\u00eet pas encore.<\/p>\n Une alternative \u00e0 l\u2019apprentissage automatique\u00a0?<\/strong><\/p>\n Il y a 20 ans, lorsque les malwares \u00e9taient moins abondants, du \u00ab\u00a0charabia\u00a0\u00bb pouvait \u00eatre facilement d\u00e9tect\u00e9 par des signatures (fragments distinctifs). Comme pour les exemples mentionn\u00e9s ci-dessus, les signatures pouvaient ressembler \u00e0 \u00e7a\u00a0:<\/p>\n Lors de l\u2019analyse du fichier et de la recherche erwp2ij<\/strong>, l\u2019antivirus reconnaissait\u00a0: \u00ab\u00a0Aha, c\u2019est du charabia #17\u00a0\u00bb. Et de la recherche gkjdxfhg<\/strong>, il pouvait en conclure qu\u2019il s\u2019agissait de \u00ab\u00a0charabia #139\u00a0\u00bb.<\/p>\n Par cons\u00e9quent, il y a une quinzaine d\u2019ann\u00e9es, lorsque la population d\u2019\u00e9chantillons de malware avait augment\u00e9 de mani\u00e8re significative, la d\u00e9tection \u00ab\u00a0g\u00e9n\u00e9rique\u00a0\u00bb jouait un r\u00f4le central. Un analyste de virus avait d\u00e9fini les r\u00e8gles, qui, une fois appliqu\u00e9es \u00e0 un texte compr\u00e9hensible, ressemblaient \u00e0 \u00e7a\u00a0:<\/p>\n 1. La largeur d\u2019un mot doit \u00eatre comprise entre 1 et 20 caract\u00e8res.<\/p>\n 2. Les lettres majuscules sont rarement plac\u00e9es au milieu d\u2019un mot.<\/p>\n 3. Les voyelles sont souvent m\u00e9lang\u00e9es avec les consonnes.<\/p>\n Etc. Si la ligne n\u2019est pas conforme \u00e0 un certain nombre de ces r\u00e8gles, elle est d\u00e9tect\u00e9e comme malveillante.<\/p>\n En r\u00e9sum\u00e9, le principe fonctionnait exactement de la m\u00eame mani\u00e8re, mais dans ce cas un mod\u00e8le math\u00e9matique \u00e9tait remplac\u00e9 par un ensemble de r\u00e8gles que les analystes \u00e9crivaient manuellement.<\/p>\n Il y a 10 ans, lorsque le nombre d\u2019\u00e9chantillons de malware a d\u00e9pass\u00e9 tous les niveaux jamais imagin\u00e9s, les algorithmes d\u2019apprentissage automatique ont commenc\u00e9 doucement \u00e0 trouver leur place parmi les programmes antivirus. Tout d\u2019abord, en mati\u00e8re de complexit\u00e9, ils ne le sont pas autant que l\u2019algorithme original que nous avions cit\u00e9 en exemple auparavant. Mais jusqu\u2019\u00e0 pr\u00e9sent, nous avons recrut\u00e9 activement des sp\u00e9cialistes et d\u00e9velopp\u00e9 notre expertise. En cons\u00e9quence de cela, nous avons le plus haut niveau<\/a> de d\u00e9tection parmi les antivirus.<\/p>\n De nos jours, aucun antivirus ne pourrait marcher sans l\u2019apprentissage automatique. Si l\u2019on compare les m\u00e9thodes de d\u00e9tection, l\u2019apprentissage automatique est \u00e0 \u00e9galit\u00e9 avec certaines techniques avanc\u00e9es telles que l\u2019analyse comportementale. N\u00e9anmoins, l\u2019analyse comportementale utilise l\u2019apprentissage automatique\u00a0! En r\u00e9sum\u00e9, l\u2019apprentissage automatique est fondamental pour une protection efficace. Point.<\/p>\n Inconv\u00e9nients <\/strong><\/p>\n L\u2019apprentissage automatique poss\u00e8de un certain nombre d\u2019avantages, est-ce le rem\u00e8de universel\u00a0? Eh bien, pas vraiment. Cette m\u00e9thode fonctionne efficacement si l\u2019algorithme cit\u00e9 pr\u00e9c\u00e9demment fonctionne sur le Cloud ou sur n\u2019importe quelle infrastructure qui apprend \u00e0 analyser un grand nombre d\u2019objets \u00e0 la fois propres<\/em> et malveillants<\/em>.<\/p>\n Il permet \u00e9galement d\u2019avoir une \u00e9quipe d\u2019experts qui supervise ce processus d\u2019apprentissage et intervient chaque fois que leur exp\u00e9rience fait la diff\u00e9rence.<\/p>\n Dans ce cas, les inconv\u00e9nients sont limit\u00e9s, un\u00a0en particulier : le besoin d\u2019une solution d\u2019infrastructure co\u00fbteuse, et une \u00e9quipe d\u2019experts consid\u00e9rablement r\u00e9mun\u00e9r\u00e9s.<\/p>\n En revanche, si quelqu\u2019un souhaite r\u00e9duire drastiquement les co\u00fbts et n\u2019utiliser que le mod\u00e8le math\u00e9matique, et seulement au niveau du produit, les choses peuvent mal tourner.<\/p>\n 1. Les faux positifs. <\/strong><\/b><\/p>\n L\u2019apprentissage automatique fond\u00e9 sur la d\u00e9tection est toujours en qu\u00eate d\u2019un juste milieu entre le niveau d\u2019objets d\u00e9tect\u00e9s et le niveau de faux positifs. Si on veut activer plus de d\u00e9tection, il pourrait finalement y avoir plus de faux positifs. Avec l\u2019apprentissage automatique, ils pourraient \u00e9merger dans un endroit que vous n\u2019auriez jamais imagin\u00e9 ou envisag\u00e9. Par exemple, la ligne propre \u00ab\u00a0Visit Reykjavik\u00a0\u00bb pourrait \u00eatre d\u00e9tect\u00e9e comme \u00e9tant malveillante, en n\u2019obtenant que 101 points dans notre taux d\u2019authenticit\u00e9. C\u2019est la raison pour laquelle il est fondamental pour un laboratoire antivirus de garder des sauvegardes de fichiers propres pour permettre l\u2019apprentissage et les tests du mod\u00e8le.<\/p>\n 2. Mod\u00e8le bypass.<\/strong><\/b><\/p>\n Un malfaiteur pourrait d\u00e9monter un tel produit et voir comment il fonctionne. Les cybercriminels sont des humains, ce qui fait qu\u2019ils sont plus cr\u00e9atifs (si ce n\u2019est plus intelligents) qu\u2019une machine, et qu\u2019ils s\u2019adaptent. Par exemple, la ligne suivante est consid\u00e9r\u00e9e comme \u00e9tant propre, m\u00eame si sa premi\u00e8re partie est clairement malveillante (aux yeux des humains)\u00a0: dgfkljhdfnmnvdfk. Ici, il s\u2019agit de tout un texte fait pour tromper la machine. Quelle que soit l\u2019intelligence d\u2019un algorithme, un humain intelligent pourra toujours trouver un moyen de le contourner. C\u2019est la raison pour laquelle un laboratoire antivirus n\u00e9cessite une infrastructure tr\u00e8s r\u00e9active pour r\u00e9agir aussit\u00f4t face \u00e0 de nouvelles menaces.<\/p>\n 3. Mise \u00e0 jour du mod\u00e8le. <\/strong><\/b><\/p>\n Lors de la description de l\u2019algorithme pr\u00e9c\u00e9demment cit\u00e9, nous avions indiqu\u00e9 qu\u2019un mod\u00e8le qui apprenait sur des textes anglais ne fonctionnerait pas pour des textes dans d\u2019autres langues. Vu sous cet angle, les fichiers malveillants (sous r\u00e9serve qu\u2019il aient \u00e9t\u00e9 cr\u00e9\u00e9s par des humains, peuvent \u00eatre cr\u00e9atifs) sont comme un alphabet en constante \u00e9volution. Le paysage des menaces est tr\u00e8s volatile. Apr\u00e8s de longues ann\u00e9es de recherche, Kaspersky Lab a d\u00e9velopp\u00e9 une approche \u00e9quilibr\u00e9e\u00a0: nous actualisons nos mod\u00e8les \u00e9tape par \u00e9tape directement dans nos bases de donn\u00e9es. Ceci nous permet de fournir un apprentissage suppl\u00e9mentaire, y compris un changement radical de l\u2019angle d\u2019apprentissage pour un mod\u00e8le, sans interrompre ses op\u00e9rations habituelles.<\/p>\n
\nIt is well known that a vital ingredient of success is not knowing that what you\u2019re attempting can\u2019t be done (Ce qu\u2019on est n\u2019a rien \u00e0 voir avec ce qu\u2019on doit \u00eatre ni avec ce qu\u2019on peut devenir<\/em>).
\nThe trouble with having an open mind, of course, is that people will insist on coming along and trying to put things in it (Personne ne devient fou aussi vite qu\u2019une personne parfaitement saine d\u2019esprit<\/em>).<\/p>\nDFgdgfkljhdfnmn vdfkjdfk kdfjkswjhwiuerwp2ijnsd,mfns sdlfkls wkjgwl<\/code>
\nreoigh dfjdkjfhgdjbgk nretSRGsgkjdxfhgkdjfg gkfdgkoi<\/code>
\ndfgldfkjgreiut rtyuiokjhg cvbnrtyu<\/code><\/p>\n
\nGi \u2014 1
\nan \u2014 3
\nar \u2014 2
\nay \u2014 1
\nda \u2014 1
\nes \u2014 1
\net \u2014 1
\nfe \u2014 1
\nfi \u2014 2
\nfo \u2014 2
\nhe \u2014 4
\nhi \u2014 2
\nif \u2014 1
\nim \u2014 1<\/p>\n
\nth \u2014 9260
\ner \u2014 7089
\nin \u2014 6515
\nan \u2014 6214
\nnd \u2014 4746
\nre \u2014 4203
\nou \u2014 4176
\nwa \u2014 2166
\nsh \u2014 2161
\nea \u2014 2146
\nnt \u2014 2144
\nwc \u2014 1<\/p>\nF(Gi) * F(iv) * F(ve) * F(e ) * F( a) * F(a ) * F( m) * F(ma) * F(an) * F(n ) * \u2026<\/code>
\n6 * 364 * 2339 * 13606 * 8751 * 1947 * 2665 * 1149 * 6214 * 5043 * \u2026<\/code><\/p>\nGive a man a fire and he's warm for the day. But set fire to him and he's warm for the rest of his life \u2014 1984 points<\/code>
\nIt is well known that a vital ingredient of success is not knowing that what you're attempting can't be done \u2014 1601 points<\/code>
\nThe trouble with having an open mind, of course, is that people will insist on coming along and trying to put things in it \u2014 2460 points<\/code>
\nDFgdgfkljhdfnmn vdfkjdfk kdfjkswjhwiuerwp2ijnsd,mfns sdlfkls wkjgwl \u2014 16 points<\/code>
\nreoigh dfjdkjfhgdjbgk nretSRGsgkjdxfhgkdjfg gkfdgkoi \u2014 9 points<\/code>
\ndfgldfkjgreiut rtyuiokjhg cvbnrtyu \u2014 43 points<\/code><\/p>\nDFgdgfkljhdfnmn vdfkjdfk kdfjkswjhwiuerwp2ij<\/b>nsd,mfns sdlfkls wkjgwl<\/code>
\nreoigh dfjdkjfhgdjbgk nretSRGsgkjdxfhg<\/b>kdjfg gkfdgkoi<\/code><\/p>\n<\/a>
\nVoici un exemple qui montre comment le mod\u00e8le math\u00e9matique pr\u00e9c\u00e9demment cit\u00e9 peut-\u00eatre dup\u00e9. Les mots paraissent authentiques, alors qu\u2019en r\u00e9alit\u00e9 c\u2019est du charabia. Source<\/a><\/div>\nConclusion<\/strong><\/h3>\n