![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2016\/11\/05220605\/machine-learning-featured-1.jpg\")
<\/p>\n\u00daltimamente, las compa\u00f1\u00edas tecnol\u00f3gicas se han vuelto totalmente locas por el aprendizaje autom\u00e1tico. Dicen que soluciona los problemas que antes solo pod\u00edan solucionar las personas. Algunos van m\u00e1s lejos y lo llaman \u201cinteligencia artificial\u201d. El aprendizaje autom\u00e1tico es de especial inter\u00e9s para la seguridad inform\u00e1tica, un \u00e1mbito en el que las amenazas cambian con rapidez y en el que se deben crear soluciones adecuadas.
\nAlgunos llegan a llamarlo \u201cinteligencia artificial\u201d as\u00ed porque s\u00ed.<\/p>\n
<\/p>\n
La tecnolog\u00eda depende de la velocidad y de la consistencia. Y el aprendizaje autom\u00e1tico se basa en tecnolog\u00eda, lo que hace que sea f\u00e1cil de explicar con t\u00e9rminos simples. As\u00ed que, vayamos al grano: resolveremos problemas reales mediante un algoritmo (basado en aprendizaje autom\u00e1tico). El concepto es muy f\u00e1cil y da una visi\u00f3n real y valiosa.<\/p>\n
La escritura humana (en este caso, la de Terry Pratchetts), tiene un aspecto como este:<\/p>\n
Una escritura incomprensible se parece a esta:<\/p>\n Nuestro trabajo es desarrollar un algoritmo de aprendizaje autom\u00e1tico que diferencie ambos tipos<\/b>. Aunque sea f\u00e1cil para un humano, la tarea es un gran reto. Se necesita tiempo para formalizar la diferencia. Nosotros usamos el aprendizaje autom\u00e1tico: A\u00f1adimos algunos ejemplos al algoritmo y dejamos que \u201caprenda\u201d c\u00f3mo responder de manera fiable la pregunta de \u201csi es humano o incomprensible\u201d. Cada vez que un programa antivirus del mundo real analiza un archivo, es exactamente lo que hace.<\/p>\n Porque abarcamos el tema dentro del contexto de la seguridad inform\u00e1tica y el objetivo principal del antivirus es encontrar c\u00f3digo malicioso entre una gran cantidad de datos limpios; nos referiremos al texto con sentido como \u201climpio\u201d y al incomprensible como \u201cmalicioso\u201d.<\/p>\n Parece una tarea insignificante para un humano: pueden ver inmediatamente cu\u00e1l est\u00e1 \u201climpio\u201d y cu\u00e1l es \u201cmalicioso\u201d. Pero es un gran reto marcar la diferencia, o m\u00e1s, explic\u00e1rselo a un ordenador. Usamos el aprendizaje autom\u00e1tico aqu\u00ed: \u201cintroducimos\u201d algunos ejemplos en el algoritmo y dejamos que \u201caprenda\u201d de ellos para que pueda responder correctamente a la pregunta.<\/p>\n Nuestro algoritmo calcular\u00e1 la frecuencia de una letra en particular seguida de otra letra en particular para as\u00ed analizar todos los pares de letras posibles. Por ejemplo, para la primera frase Give a man a fire and he\u2019s warm for the day. But set fire to him and he\u2019s warm for the rest of his life<\/em>, la cual sabemos que est\u00e1 limpia, la frecuencia de pares de letras en particular es esta: Para simplificarlo, ignoramos los signos de puntuaci\u00f3n y los espacios. Por lo que, en esa frase, a<\/i> va seguida de n<\/i> tres veces, a f<\/i> le sigue i<\/i> dos veces y a<\/i> <\/i>va seguida de y<\/b><\/i> una vez.<\/i><\/p>\n En esta fase, comprendemos que una frase no es suficiente para que nuestro modelo aprenda: necesitamos analizar una cantidad mayor de texto. As\u00ed que contemos los pares de letras de la versi\u00f3n en ingl\u00e9s de Lo que el viento se llev\u00f3<\/i> de Margaret Mitchell (para ser precisos, del primer 20 % del libro). Estos son algunos:<\/p>\n he \u2014 11460 Como puedes ver, la probabilidad de encontrar la combinaci\u00f3n he es dos veces mayor que de ver an<\/i>. <\/i>Y wc<\/i><\/i> solo aparece una vez (en la palabra newcomer<\/em>).<\/p>\n Entonces, ya tenemos un modelo de texto limpio, pero \u00bfc\u00f3mo lo usamos? En primer lugar, para definir la probabilidad de que una l\u00ednea est\u00e9 limpia o sea maliciosa, definiremos su autenticidad<\/i>. Definiremos la frecuencia de cada par de letras con la ayuda de un modelo (evaluando lo realista que es una combinaci\u00f3n de letras) y luego multiplicaremos esos n\u00fameros:<\/p>\n Al determinar el valor final de autenticidad, tambi\u00e9n consideramos el n\u00famero de s\u00edmbolos que hay en la l\u00ednea: cuanto m\u00e1s larga sea la l\u00ednea, m\u00e1s n\u00fameros habremos multiplicado. As\u00ed que, para que este valor se adapte a l\u00edneas cortas y largas, hacemos magia matem\u00e1tica (extraemos la ra\u00edz del grado de \u201ctama\u00f1o de la l\u00ednea en cuesti\u00f3n menos uno\u201d del resultado).<\/p>\n Ahora podemos extraer algunas conclusiones: cuanto m\u00e1s alto es el numero calculado, mejor encaja la l\u00ednea en nuestro modelo (y, por ello, la probabilidad de que la haya escrito un humano es mayor). Si el texto da una cifra alta, podemos decir que est\u00e1 limpio<\/i>.<\/p>\n Si la l\u00ednea en cuesti\u00f3n contiene una alta cifra sospechosa de combinaciones raras (como wx, zg, yq, etc.), tendr\u00e1 m\u00e1s probabilidades de ser maliciosa.<\/p>\n En la l\u00ednea que hemos elegido para el an\u00e1lisis, medimos la probabilidad (\u201cautenticidad\u201d) en puntos, como mostramos a continuaci\u00f3n:<\/p>\n Como puedes ver, las l\u00edneas limpias dan como resultado m\u00e1s de 1 000 puntos y las maliciosas<\/i> no llegan a los 100 puntos. Parece que nuestro algoritmo funciona como esper\u00e1bamos.<\/p>\n Por lo que respecta a asignar puntuaciones altas y bajas en contexto, el mejor modo es dejar que una m\u00e1quina haga este trabajo y dejarla aprender. Para ello, le introduciremos una cantidad de l\u00edneas reales y limpias, calcularemos su autenticidad y, luego, introduciremos algunas l\u00edneas maliciosas y lo repetiremos. Entonces, calcularemos el punto de referencia para la evaluaci\u00f3n. EN nuestro caso, es de 500 puntos.<\/p>\n Analicemos lo que acabamos de hacer.<\/p>\n 1. Hemos definido las caracter\u00edsticas de las l\u00edneas limpias (con los pares de caracteres).<\/b> 2. Utilizamos indicadores definidos para construir un modelo matem\u00e1tico en el que basamos el aprendizaje con ejemplos.<\/b> 3. Utilizamos un modelo matem\u00e1tico simple para calcular la tasa de autenticidad.<\/b> Hace unos 20 a\u00f1os, cuando el malware<\/i> abundaba menos, las l\u00edneas sin sentido pod\u00edan detectarse con facilidad mediante firmas (fragmentos distintivos). En los ejemplos anteriores, las firmas ser\u00edan as\u00ed:<\/p>\n Un antivirus que analice el archivo y encuentre erwp2ij<\/b> dir\u00eda: \u201cSe trata del texto incomprensible #17\u201d. Al encontrar gkjdxfhg<\/b>, lo reconocer\u00eda como texto incomprensible #139.<\/p>\n Luego, hace unos 15 a\u00f1os, las muestras de malware<\/i> crecieron bastante y la detecci\u00f3n \u201cgen\u00e9rica\u201d cobro protagonismo. Un analista de virus defini\u00f3 las reglas que, cuando se aplicaban a un texto con sentido, se parec\u00edan a estas:<\/p>\n 1. La longitud de una palabra debe comprender entre 1 y 20 caracteres. Y as\u00ed. Si una l\u00ednea no cumpl\u00eda con una cantidad de estas reglas, se detectaba como malicioso.<\/p>\n En esencia, el principio funcionaba igual, pero en este caso una serie de normas, que los analistas escribieron manualmente se sustituyeron por el modelo matem\u00e1tico.<\/p>\n Hace 10 a\u00f1os, cuando la cifra de muestras de malware<\/i> aument\u00f3 hasta sobrepasar niveles inimaginables, los algoritmos de aprendizaje autom\u00e1tico no llegaban a encajar con los programas antivirus. Primero, en t\u00e9rminos de complejidad, no se amoldaban m\u00e1s all\u00e1 del algoritmo primitivo que hemos descrito antes como ejemplo. Pero, luego, empezamos a contratar especialistas y a aumentar nuestra experiencia. Como resultado, tenemos el nivel m\u00e1s alto<\/a> de detecci\u00f3n entre los antivirus.<\/p>\n Hoy en d\u00eda, ning\u00fan antivirus funcionar\u00eda sin el aprendizaje autom\u00e1tico. En comparaci\u00f3n con los m\u00e9todos de detecci\u00f3n, el aprendizaje autom\u00e1tico funcionar\u00eda junto con otros m\u00e9todos como el an\u00e1lisis de comportamiento. Aun as\u00ed, \u00a1el an\u00e1lisis de comportamiento utiliza aprendizaje autom\u00e1tico! En resumen, el aprendizaje autom\u00e1tico es esencial para una protecci\u00f3n eficiente. Punto.<\/p>\n El aprendizaje autom\u00e1tico tiene muchas ventajas (\u00bfes la cura para todo?) Pues\u2026 no. Este m\u00e9todo funciona de manera eficiente si el algoritmo mencionado funciona en la nube o en alg\u00fan tipo de infraestructura que aprenda de analizar una gran cantidad de objetos limpios<\/i> y maliciosos<\/i>.<\/p>\n Tambi\u00e9n ayuda tener un equipo de expertos que supervise este proceso de aprendizaje e intervenga si su experiencia marcara la diferencia.<\/p>\n En este caso, los inconvenientes se minimizan (hasta tener solo uno): la necesidad de una soluci\u00f3n de infraestructura cara y de un equipo de expertos muy bien pagados.<\/p>\n Pero en el caso de que se quiera ahorrar en costes y usar solo el modelo matem\u00e1tico, y solo desde el punto de vista del producto, las cosas puede que no salgan como se espera.<\/p>\n 1. Falsos positivos.<\/b> 2. Evitar el modelo.<\/b> Este es un ejemplo de c\u00f3mo se puede enga\u00f1ar al mencionado m\u00e9todo matem\u00e1tico: las palabras parecen aut\u00e9nticas, pero en realidad no tienen sentido. Fuente<\/a>.<\/p><\/div>\n 3. Actualizaci\u00f3n del modelo.<\/strong><\/p>\n Al describir el algoritmo mencionado, hemos mencionado que un modelo que aprende a partir de textos en ingl\u00e9s no funcionar\u00e1 para textos en otros idiomas. Desde esta perspectiva, los archivos maliciosos (siempre y cuando los hayan creado humanos, los cuales pueden pensar por s\u00ed mismos) son alfabeto en constante evoluci\u00f3n. El panorama de las amenazas es muy vol\u00e1til. A lo largo de a\u00f1os de investigaci\u00f3n, Kaspersky Lab ha desarrollado un enfoque equilibrado: actualizamos nuestros modelos paso a paso directamente en nuestras bases de datos de antivirus. Ello nos permite proveer de un aprendizaje extra o de un cambio completo en el \u00e1ngulo del aprendizaje, sin interrumpir sus operaciones habituales.<\/p>\nGive a man a fire and he's warm for the day. But set fire to him and he's warm for the rest of his life<\/code> (en espa\u00f1ol: Dale fuego a un hombre y estar\u00e1 caliente un d\u00eda, pero pr\u00e9ndele fuego y estar\u00e1 caliente el resto de su vida).<\/p>\nIt is well known that a vital ingredient of success is not knowing that what you're attempting can't be done<\/code> (en espa\u00f1ol: Es sabido que un ingrediente esencial del \u00e9xito es no saber que lo intentas hacer no puede hacerse).<\/p>\nThe trouble with having an open mind, of course, is that people will insist on coming along and trying to put things in it<\/code> (en espa\u00f1ol: El problema de tener una mente abierta es que la gente insiste en entrar dentro y poner all\u00ed sus cosas).<\/p>\nDFgdgfkljhdfnmn vdfkjdfk kdfjkswjhwiuerwp2ijnsd,mfns sdlfkls wkjgwl
\nreoigh dfjdkjfhgdjbgk nretSRGsgkjdxfhgkdjfg gkfdgkoi
\ndfgldfkjgreiut rtyuiokjhg cvbnrtyu<\/code><\/p>\nSoluci\u00f3n: utilizar un algoritmo<\/h3>\n
\nBu \u2014 1
\nGi \u2014 1
\nan \u2014 3
\nar \u2014 2
\nay \u2014 1
\nda \u2014 1
\nes \u2014 1
\net \u2014 1
\nfe \u2014 1
\nfi \u2014 2
\nfo \u2014 2
\nhe \u2014 4
\nhi \u2014 2
\nif \u2014 1
\nim \u2014 1<\/p>\n
\nth \u2014 9260
\ner \u2014 7089
\nin \u2014 6515
\nan \u2014 6214
\nnd \u2014 4746
\nre \u2014 4203
\nou \u2014 4176
\nwa \u2014 2166
\nsh \u2014 2161
\nea \u2014 2146
\nnt \u2014 2144
\nwc \u2014 1<\/p>\nF(Gi) * F(iv) * F(ve) * F(e ) * F( a) * F(a ) * F( m) * F(ma) * F(an) * F(n ) * \u2026
\n6 * 364 * 2339 * 13606 * 8751 * 1947 * 2665 * 1149 * 6214 * 5043 * \u2026<\/code><\/p>\nUtilizando el modelo<\/h3>\n
Give a man a fire and he's warm for the day. But set fire to him and he's warm for the rest of his life:<\/code> 1984 puntos.<\/p>\nIt is well known that a vital ingredient of success is not knowing that what you're attempting can't be done:<\/code> 1601 puntos.<\/p>\nThe trouble with having an open mind, of course, is that people will insist on coming along and trying to put things in it:<\/code> 2460 puntos.<\/p>\nDFgdgfkljhdfnmn vdfkjdfk kdfjkswjhwiuerwp2ijnsd,mfns sdlfkls wkjgwl:<\/code> 16 puntos.
\nreoigh dfjdkjfhgdjbgk nretSRGsgkjdxfhgkdjfg gkfdgkoi:<\/code> 9 puntos.
\ndfgldfkjgreiut rtyuiokjhg cvbnrtyu:<\/code> 43 puntos.<\/p>\nEn la vida real<\/h3>\n
\nEn la vida real, cuando desarrollamos un antivirus funcional, los analistas tambi\u00e9n definen las caracter\u00edsticas de los archivos y otros objetos. Por cierto, sus contribuciones son muy importantes: sigue siendo una tarea para humanos definir las caracter\u00edsticas que se deben evaluar en los an\u00e1lisis y el nivel de experiencia de los especialistas influencia directamente en la calidad de la funcionalidad. Por ejemplo, \u00bfqui\u00e9n dijo que se deben analizar los caracteres de dos en dos y no de tres en tres? Estas suposiciones hipot\u00e9ticas tambi\u00e9n se eval\u00faan en los laboratorios de los antivirus. Cabe puntualizar que en Kaspersky Lab utilizamos el aprendizaje autom\u00e1tico para seleccionar las mejores caracter\u00edsticas complementarias.<\/p>\n
\nPor supuesto, en la vida real los modelos son algo m\u00e1s complejos. Ahora, los mejores resultados vienen de un \u00e1rbol de decisi\u00f3n construido con la t\u00e9cnica Grandient boosting<\/i><\/a>, pero nuestro esfuerzo por acercarnos a la perfecci\u00f3n no nos permite cruzarnos de brazos y pensar que no podemos hacerlo mejor.<\/p>\n
\nPara ser sincero, en la vida real, hacemos lo contrario: calculamos la tasa de \u201cpeligro\u201d, lo que puede no parecer muy diferente, pero imagina lo poco aut\u00e9ntica que parecer\u00eda una l\u00ednea en otro lenguaje o alfabeto con nuestro modelo. Es inaceptable que un antivirus d\u00e9 respuestas falsas cuando compruebe toda una nueva clase de archivos solo porque a\u00fan no los conoce.<\/p>\n\u00bfHay alternativa al aprendizaje autom\u00e1tico?<\/h3>\n
DFgdgfkljhdfnmn vdfkjdfk kdfjkswjhwiuerwp2ij<\/b>nsd,mfns sdlfkls wkjgwl
\nreoigh dfjdkjfhgdjbgk nretSRGsgkjdxfhg<\/b>kdjfg gkfdgkoi<\/code><\/p>\n
\n2. Las letras may\u00fasculas y los n\u00fameros rara vez van en medio de una palabra.
\n3. Las vocales se combinan con consonantes de manera homog\u00e9nea.<\/p>\nInconvenientes<\/h3>\n
\nLa detecci\u00f3n basada en aprendizaje autom\u00e1tico siempre trata de encontrar el punto exacto entre el nivel de objetos detectados y el nivel de falsos positivos. Si activ\u00e1ramos m\u00e1s mecanismos de detecci\u00f3n, habr\u00eda m\u00e1s falsos positivos. Con el aprendizaje autom\u00e1tico, aparecer\u00edan en alg\u00fan lugar que no imaginaba. Por ejemplo, la l\u00ednea limpia \u201cVisit Reykjavik<\/i>\u201d ser\u00eda calificada como maliciosa al obtener solo 101 puntos en nuestra puntuaci\u00f3n de autenticidad.<\/p>\n
\nUn malhechor podr\u00eda escoger un producto de ese tipo para ver c\u00f3mo funciona. Los delincuentes son humanos, por lo que son m\u00e1s creativos (si no m\u00e1s listos) que una m\u00e1quina y se adaptar\u00edan. Por ejemplo, la siguiente l\u00ednea est\u00e1 considerada como limpia, aunque la primera parte sea (a ojos humanos) maliciosa: dgfkljhdfnmnvdfkY se a\u00f1ade algo de texto coherente para enga\u00f1ar a la m\u00e1quina. A pesar de que el algoritmo es inteligente, un humano inteligente siempre puede encontrar un modo de sortearlo. Por ello, un laboratorio de antivirus necesita una infraestructura de alta respuesta para reaccionar instant\u00e1neamente a las nuevas amenazas.<\/p>\n![\"gibberish-en\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2016\/11\/05221001\/gibberish-EN.gif\")
Conclusi\u00f3n<\/h3>\n