マサチューセッツ工科大学（MIT）のコンピュータ科学および人工知能研究所（CSAIL）が米国時間4月18日に述べたところによると、「アナリスト主導のソリューション」の多くは人間の専門家が作った規則を利用するため、既定のパターンに合致しない攻撃を見逃す可能性もあるが、そうした状況を一変させる人工知能プラットフォームが新たに開発されたという。

MITによると、「AI Squared」（AI2）と呼ばれるそのプラットフォームは、85％の攻撃を検知（現在のベンチマークの約3倍の確率）するほか、偽陽性も5分の1に減らすという。

後者は重要である。なぜなら、誤検出によって偽陽性が誘発されると、保護システムに対する信頼性が低下するおそれがあるほか、その問題を調査しなければならないIT専門家の時間も無駄になってしまうからだ。

AI2のテストは「ログライン」として知られる36億件ものデータを使って実施された。これらのログラインは、2000万人以上のユーザーによって3カ月の間に生成されたものだ。AIはこの情報をくまなく調べ、機械学習を用いてデータをまとめて疑わしい活動を検知した。異常と判定された活動は人間のオペレーターに提出され、フィードバックが出された。

CSAILのリサーチサイエンティストであるKalyan Veeramachaneni氏は、「このシステムは、バーチャルアナリストとみなすことができる。AI2は新しいモデルを絶えず生成し、わずか数時間で洗練されることで、検知率を大幅かつ迅速に高めることが可能だ」と話す。

AI2は1日に何十億件ものログラインをスキャンし、それぞれのデータが「正常」か「異常」かを評価することができる。攻撃が発生すればするほど、そして人間のオペレーターがフィードバックを返せば返すほど、AI2はより効果的になる。なぜなら、AI2は何に注意すればいいのかを学習するからだ。

Veeramachaneni氏によると、この「カスケード」効果により、将来の攻撃予想の精度は向上し続けるという。

MITによると、AI2は3種類の学習方法を使用して、毎日の終わりに重要なイベントを提示し、オペレーターがそれらのイベントを分類できるようにするという。その後AI2はモデルを構築し、チームが「continuous active learning system」（絶えず活発な学習システム）と呼ぶシステムを通じて洗練されていく。