На глобальном мероприятии Mobile World Congress в Барселоне эксперт из Глобального центра изучения и прогнозирования киберугроз (GReAT), Виктор Чебышев, объяснил причины внедрения искусственного интеллекта в наше антивирусное решение для смартфонов несколько лет назад, а также продемонстрировал достижения этой технологии.
Этапы развития вредоносного ПО для мобильных устройств
Для начала рассмотрим, как трансформировались опасные программы под Android. Эта операционная система дебютировала в 2007 году, а первое коммерческое устройство на её основе — HTC Dream — появилось в магазинах в 2008 году. Злоумышленники оперативно освоили платформу, и первые вредоносные приложения для Android зафиксированы уже в 2009 году.
Поначалу их объемы были незначительны: в 2009 году специалисты «Лаборатории Касперского» выявляли около трех новых образцов ежемесячно. Виктор Чебышев мог самостоятельно обрабатывать их, используя базовую систему защиты на основе сигнатур.
В 2009 году в среднем мы обнаруживали три новых Android-зловреда в месяц
Однако вскоре объёмы угроз резко увеличились: к 2010 году мы ежемесячно находили свыше 20 000 новых опасных приложений. Сигнатурный подход продолжал работать, но анализ стал требовать значительно больше усилий.
С ростом популярности Android стремительно множилось и количество зловредов: к 2012 году мы фиксировали до 467 515 новых экземпляров в месяц. На тот момент команда аналитиков мобильных угроз расширилась до четырёх сотрудников, а методы обнаружения дополнились эвристикой и статистикой, но даже этого оказалось недостаточно.
Ярким примером усложнения угроз стал троянец Fttkit. Его разработчики позиционируют его как сервис автоматической защиты приложений, но фактически он помогает другим злоумышленникам скрывать вредоносный код от антивирусов. Механизм работы: после проникновения на устройство троянец маскирует себя и внедряет основной модуль — обычно банковское вредоносное ПО. На сегодня зарегистрировано более 360 000 уникальных модификаций Fttkit, и их число продолжает расти.
Искусственный интеллект в мобильной защите
Ручная обработка такого объёма угроз потребовала бы постоянного увеличения штата сотрудников. Но главная проблема — временны́е затраты: пока аналитики исследуют образцы, пользователи остаются уязвимыми.
Именно здесь технологии машинного обучения стали незаменимыми помощниками — они позволяют экономить время и ресурсы на поиске вредоносных программ.
Однако у таких технологий есть ограничение — повышенные требования к вычислительным мощностям. Чтобы снизить влияние на производительность смартфона и энергопотребление, мы используем гибридную модель. Лёгкие операции выполняются непосредственно на устройстве, а ресурсоёмкие задачи перенаправляются в облако. Такой подход обеспечивает оперативное обнаружение новых угроз без ущерба для скорости работы гаджета и автономности.
Внедрение машинного обучения в Kaspersky для Android позволило достичь следующих результатов:
- Детектор DangerousObject.AndroidOS.GenericML, основанный на ИИ-алгоритмах, входит в тройку самых часто используемых в нашем продукте. С его помощью обнаруживается 6,63% всех известных угроз для Android.
Вердикт, поставленный с помощью технологий машинного обучения, входит в тройку самых распространенных
- Каждую третью новую Android-угрозу наши решения идентифицируют с использованием технологий искусственного интеллекта.
Эти достижения стали возможными благодаря трём ключевым факторам: обширной базе мобильных угроз, накопленной с 2009 года; уникальному опыту наших исследователей; компетенциям специалистов по машинному обучению. Синергия этих компонентов обеспечивает лидерство наших мобильных решений в независимых тестах по критериям защиты и быстродействия.