Nel campo della cybersecurity, machine learning e deep learning sono due tecnologie chiave derivate dall’intelligenza artificiale, usate per analizzare grandi quantità di dati e individuare minacce in modo automatico.
Indice degli argomenti:
Introduzione a Machine learning e Deep learning
Spesso i due termini vengono confusi, poiché il deep learning è in realtà un sottoinsieme specializzato del machine learning basato su reti neurali profonde. In questo articolo ne definiremo le caratteristiche e metteremo a confronto il machine learning con il deep learning per capire quale approccio adottare a seconda dei casi.
Definizione di Machine learning
Il machine learning (ML) è la disciplina dell’IA che permette a un sistema informatico di apprendere dai dati ed eseguire compiti senza essere programmato esplicitamente in ogni passo. Algoritmi di ML analizzano dataset anche voluminosi per identificare schemi ricorrenti e utilizzarli al fine di fare previsioni su dati nuovi.
Esistono varie tipologie di ML: nell’apprendimento supervisionato il modello viene addestrato con esempi già etichettati (ad es. attività lecite vs malevoli) per imparare a classificare nuovi eventi, nell’apprendimento non supervisionato, il modello rileva autonomamente strutture e anomalie in dati non etichettati.
L’apprendimento per rinforzo questo paradigma si occupa di problemi di decisioni sequenziali, in cui l’azione da compiere dipende dallo stato attuale del sistema e ne determina quello futuro. La qualità di un’azione è data da un valore numerico di “ricompensa”, ispirata al concetto di rinforzo, che ha lo scopo di incoraggiare comportamenti corretti dell’agente.
Definizione di Deep learning
Il deep learning (DL) è una tecnica avanzata di ML che utilizza reti neurali artificiali multistrato ispirate al funzionamento del cervello. A differenza degli algoritmi ML classici, che richiedono spesso un lavoro umano di definizione delle caratteristiche rilevanti (feature) da dare in pasto al modello, un modello di deep learning estrae automaticamente i pattern dai dati grezzi attraverso i vari livelli della rete. Questo gli consente di affrontare problemi complessi su dati non strutturati (immagini, audio, testo libero) individuando correlazioni molto profonde.
Il deep learning sta dietro a molte applicazioni avanzate, come il riconoscimento facciale, la comprensione del linguaggio naturale o la guida autonoma, e trova applicazione anche nella cybersecurity ad esempio per analizzare grandi volumi di traffico di rete o di codice binario alla ricerca di anomalie o comportamenti malevoli impossibili da definire con regole statiche.
Differenze chiave tra Machine learning e Deep learning
Sebbene entrambi siano metodi di apprendimento automatico, machine learning e deep learning si distinguono per approccio, complessità e requisiti, il machine learning si basa su algoritmi che apprendono dai dati strutturati e spesso richiedono un intervento umano per l’estrazione delle caratteristiche rilevanti.
Il deep learning, invece, utilizza reti neurali profonde capaci di apprendere autonomamente rappresentazioni complesse dai dati grezzi, rendendolo più adatto a compiti ad alta variabilità e su larga scala. La scelta tra i due dipende dal tipo di problema, dalla quantità di dati e dalle risorse disponibili.
Approccio tecnologico e computazionale
Feature e dati: un modello ML tradizionale richiede tipicamente che un esperto definisca e prepari le feature più importanti dei dati (es. statistiche di rete, indicatori di attacco, ecc.), mentre un modello DL apprende da sé le rappresentazioni dei dati rilevanti grazie all’addestramento della rete neurale, riducendo al minimo l’intervento umano. Inoltre, i modelli DL tendono a necessitare di molti più dati rispetto ai modelli ML per raggiungere alte prestazioni: in generale il deep learning mostra tutto il suo potenziale solo quando può attingere a dataset molto grandi (ordine di milioni di esempi), mentre algoritmi di ML possono funzionare bene anche con dataset più limitati.
Complessità computazionale: le reti neurali profonde sono modelli molto complessi dal punto di vista computazionale. L’addestramento di un modello DL richiede in genere una potenza di calcolo elevata (spesso con GPU o hardware specializzato) e tempi più lunghi rispetto a un algoritmo ML equivalente. In fase di produzione, l’esecuzione (inferenza) di un modello DL può anch’essa essere onerosa se deve analizzare dati in tempo reale.
Al contrario, molti algoritmi ML (come alberi decisionali, SVM, ecc.) possono essere addestrati ed eseguiti con risorse di calcolo modeste.
In sintesi, il deep learning offre maggiore capacità espressiva a costo di una maggiore richiesta di infrastruttura hardware e ottimizzazione, mentre il machine learning è più leggero e facile da implementare con mezzi ordinari.
Interpretabilità dei modelli: un’altra differenza cruciale riguarda la trasparenza. I modelli di machine learning (ad es. un albero decisionale) sono spesso più interpretabili – è possibile seguire quali fattori hanno contribuito a una certa decisione – il che in cybersecurity aiuta gli analisti a fidarsi degli allarmi e investigarne le cause. I modelli di deep learning, con migliaia di parametri interconnessi, sono in gran parte opachi e difficili da spiegare a posteriori (black box).
Questa minore spiegabilità è un fattore da tenere in conto (ad esempio per conformità normative o per analizzare i falsi positivi). Si stanno sviluppando tecniche di Explainable AI per reti neurali proprio allo scopo di rendere più comprensibili le loro decisioni in ambito sicurezza, ma attualmente la leggibilità dei modelli ML resta un vantaggio quando la interpretazione immediata è importante.
Casi di utilizzo nella cybersecurity
- Intrusion detection: sistemi di rilevamento delle intrusioni (IDS) impiegano algoritmi di machine learning per modellare il normale traffico di rete e rilevare anomalie che possano indicare attacchi. Modelli di deep learning possono analizzare pattern di traffico molto complessi (sequenze temporali, relazioni tra molte variabili) migliorando la capacità di individuare minacce avanzate difficili da riconoscere con metodi tradizionali.
- Malware detection: i moderni antivirus utilizzano il ML per riconoscere malware sulla base di numerose caratteristiche estratte dai file (meta-dati, sezioni di codice, comportamento in esecuzione, ecc.). Reti neurali profonde di deep learning possono andare oltre, analizzando direttamente il codice binario o le chiamate di sistema di un programma e identificando anche varianti nuove di malware grazie ai pattern appresi da grandi moli di esempi malevoli.
- Email filtering (spam/phishing): il filtraggio di email indesiderate avviene in larga parte tramite algoritmi di machine learning che classificano i messaggi in base al loro contenuto e ad altri indicatori (indirizzi, link, etc.). Per questo compito relativamente strutturato i modelli ML tradizionali sono spesso sufficienti (e possono superare reti DL se i dati di addestramento non sono enormi). Tuttavia, il deep learning applicato al linguaggio naturale sta emergendo per rilevare tentativi di phishing più sofisticati analizzando il testo e il contesto del messaggio a un livello semantico più profondo.
- User behavior analytics: le soluzioni di monitoraggio del comportamento (UEBA) sfruttano il machine learning per profilare l’attività tipica di utenti e dispositivi e segnalare anomalie significative (es. un utente interno che accede a dati cui di solito non accede). Modelli di deep learning possono incrociare un numero molto maggiore di segnali (eventi di login, accessi a file, parametri di rete, ecc.) riuscendo a scoprire schemi anomali complessi indicativi di minacce interne o account compromessi, talvolta con meno falsi negativi rispetto ad approcci più semplici.
Costi e risorse necessarie
Implementare soluzioni basate su ML o DL comporta valutazioni di costo e fattibilità. In generale, un progetto di deep learning richiede più risorse di uno basato su machine learning classico. Ciò vale innanzitutto per i dati: per addestrare efficacemente un modello DL servono dataset molto ampi e vari, il cui reperimento e preparazione possono essere onerosi (tempo speso da analisti per raccogliere ed etichettare dati, oppure costi per acquistare dati da terze parti).
Anche a livello di infrastruttura computazionale, le reti profonde richiedono hardware potente (es. server con GPU) e un investimento maggiore in cloud computing o apparecchiature on-premise, sia in fase di training che per l’eventuale inferenza in tempo reale. Al contrario, molte soluzioni ML possono essere sviluppate e fatte girare su infrastrutture già esistenti (CPU standard) senza costi aggiuntivi significativi.
Bisogna poi considerare i costi di sviluppo e manutenzione. Modelli di deep learning complessi richiedono competenze specialistiche (data scientist esperti di reti neurali) e tempi di sviluppo più lunghi, dovendo provare varie architetture e iperparametri per ottimizzare le prestazioni. Questo può aumentare i costi iniziali e rallentare la messa in opera rispetto a una soluzione ML più semplice e consolidata. D’altro canto, una volta implementato correttamente, un modello DL può automatizzare analisi molto complesse che altrimenti richiederebbero un notevole sforzo umano.
In termini di operatività, un modello più accurato (spesso ottenibile con il deep learning su grandi dataset) può ridurre i costi di gestione degli allarmi diminuendo i falsi positivi da verificare manualmente. Organizzazioni con team IT/cybersecurity piccoli o budget ristretti potrebbero inizialmente orientarsi verso soluzioni ML, meno costose da sviluppare, riservando eventualmente il deep learning a casi specifici ad alto valore aggiunto.
Quale tecnologia scegliere per la cybersecurity
In definitiva, la scelta tra machine learning e deep learning dipende dal contesto applicativo e dagli obiettivi. Non esiste una risposta universale: occorre bilanciare complessità della minaccia da affrontare, quantità di dati disponibili e risorse (umane ed economiche) dell’organizzazione. Se si dispone di dati limitati e si necessita di modelli interpretabili e rapidi da implementare, il machine learning tradizionale rappresenta spesso la soluzione più pratica ed efficiente.
Al contrario, se ci si trova ad analizzare enormi flussi di dati eterogenei (es. telemetria di rete su larga scala) e si punta alla massima accuratezza possibile nell’identificare pattern insoliti, investire nel deep learning può offrire significativi vantaggi in termini di capacità di individuare attacchi sfuggenti.
In molti casi reali la strategia vincente è combinare entrambi gli approcci: utilizzare algoritmi ML più semplici per uno screening iniziale degli eventi (dato il loro basso costo computazionale e la facilità di spiegazione), e applicare modelli DL avanzati in un secondo stadio per analizzare in profondità solo i casi più complessi o anomali.
Questo approccio ibrido permette di ottimizzare le risorse, riservando la potenza del deep learning dove serve davvero e mantenendo al contempo un livello di controllo ed efficienza con il machine learning nei livelli base.
Conclusioni
In conclusione, machine learning vs deep learning non è una gara con un vincitore assoluto, ma un confronto di strumenti da scegliere e integrare in base alle esigenze. Oggi il machine learning costituisce già l’ossatura di molte difese cyber grazie alla sua efficacia e sostenibilità, mentre il deep learning rappresenta lo stato dell’arte per affrontare minacce di elevata complessità. Con l’aumentare della capacità di calcolo e dei dataset disponibili, il deep learning è destinato a giocare un ruolo sempre più importante nella cybersecurity.
Nel frattempo, la chiave è adottare un approccio ragionato: valutare caso per caso quale tecnica – o combinazione di tecniche – massimizza i benefici (in termini di rilevamento tempestivo e preciso degli attacchi) rispetto ai costi e ai vincoli presenti, così da potenziare la postura di sicurezza senza sprecare risorse
