Selitettävät tekoälymallit (XAI) kyberuhkien havainnoinnissa

Abstract

Tässä pro gradu -tutkielmassa tutkitaan selitettäviä tekoälymalleja kyberuhkien havainnoinnissa. Kybertoimintaympäristö on jatkuvassa murroksessa hyökkäysten monimutkaistuessa ja muuttuessa entistä vakavimmiksi. Hyökkäyksiä toteuttavien uhkatoimijoiden toimintaa pyritäänkin havaitsemaan mahdollisimman aikaisessa vaiheessa, jotta esimerkiksi arkaluonteisten tietojen varastaminen, kiristyshaittaohjelmien toteuttaminen tai muu vihamielinen toiminta kyettäisiin proaktiivisesti estämään. Kyberturvallisuuden alalla tekoälyä on otettu laajalti käyttöön erilaisten kone- ja syväoppimismallien muodossa. Suurin osa tekoälymalleista on kuitenkin niin monimutkaisia, ettei niiden toiminta ole läpinäkyvää tai selitettävissä. Tutkimustehtävänä oli selvittää, miten selitettäviä tekoälymalleja voitaisiin hyödyntää kyberuhkien havainnoinnissa. Lisäksi tutkimuksessa pyrittiin löytämään vastauksia, voidaanko selitettävän tekoälyn avulla saavuttaa korkeampaa luotettavuutta ja tarkkuutta kyberturvallisuuden ratkaisuissa. Kolmantena tutkimusta tukevana lähestymiskulmana on, voisivatko kriittisien infrastruktuurin organisaatiot ja niihin vertautuvat instanssit, joilla on korkeat vaatimukset käytetyille tietojärjestelmille, hyötyä selitettävyydestä kyber-turvallisuuden ratkaisuissa. Pro gradu -tutkielman teoreettinen viitekehys koottiin edellä mainittujen tutkimuskysymysten näkökulmasta ja se taustoittaa lukijalle tutkittavaa aihetta ja siihen läheisimmin kytkeytyviä aihepiirejä. Tutkimus toteutettiin kvalitatiivisena tutkimuksena käyttäen aineistolähtöistä sisällönanalyysia. Tutkimusaineistoksi valikoitui kirjallisia dokumentteja sekä niiden tueksi yksi asiantuntijahaastattelu. Kirjallinen aineisto koostui alan tieteellisistä artikkeleista. Tutkimuksen tarkoituksena oli löytää ilmiöitä ja merkityksiä tutkimuskysymysten ympäriltä. Sisällönanalyysin tuloksina tutkimusaineistoista muodostettiin kolme yhdistävää luokkaa, jotka olivat: ”XAI-mallien kysyntä ja niiden tuoma vahvistus kyberturvallisuuden tekoälyratkaisuissa”, ”Perinteisten koneoppimismallien lähes tavoittamattomiin kasvanut takamatka kilpajuoksussa uusia hyökkäystyyppejä vastaan” sekä XAI-mallien tutkimuksen tarpeen kasvu kyberturvallisuuden alalla.” Lopuksi muodostettiin johtopäätökset, joiden mukaan selitettävällä tekoäly parantaa tekoälymallin läpinäkyvyyttä ja sitä kautta luotettavuutta kyberturvallisuuden ratkaisuissa. Luotettavuus liittyy läheisesti tekoälymallien ja niihin kytkeytyvien sidosryhmien välille. Selitettävän tekoälyn tutkimukseen kaivataan lisäksi vahvaa kontribuutiota sekä yrityksiltä, että tiedeyhteisöiltä. Havaittiin myös, että tutkimukseen on tärkeää liittää useita eri tieteen-aloja.

Asiasanat: selitettävä tekoäly, XAI, kyberuhka, havainnointi, black-box, kyberturvallisuus

In this master´s thesis, explainable artificial intelligence models in cyber threat detection are researched. The cyber environment is in a constant state of flux as attacks become more complex and severe. The aim is to detect threat actors as early as possible in order to proactively prevent, for example, the theft of sensitive data, the execution of ransomware or other hostile actions. In the field of cyber security, AI has been widely deployed in the form of various machine and deep learning models. However, most AI models are so complex that their behaviour is not transparent or explainable. The objective of this research was to investigate how AI models could be used for the detection of cyber threats. The research also aimed to find answers to the question of whether explainable AI can be used to achieve higher reliability and accuracy in cyber security solutions. A third approach that supports the research is whether critical infrastructure organisations and similar entities with high demands on the information systems they use could benefit from explainability in cybersecurity solutions. The theoretical framework of the thesis was assembled from the perspective of the above-mentioned research tasks and provides the reader with a background to the topic under study and its most closely related themes. The research was conducted as a qualitative study using content analysis. The research material consisted of written documents and one interview with an expert of cyber security. The written material consists of scientific articles in the field. The aim of the study was to discover phenomena and meanings around the research questions. As a result of the content analysis, three unifying categories were formed: "The demand for XAI models and the reinforcement they bring to AI solutions for cybersecurity", "The almost unreachable growing gap of traditional machine learning models in the race against new types of attacks" and "The grow-ing need for research on XAI models in cybersecurity." The study led to the conclusions that explainable AI improves the transparency of the AI model and thus its reliability in cybersecurity solutions. Reliability is closely related to the relationship between AI models and the stakeholders that are connected to them. However, humans are one of the most important elements in this equation. In addition, research on AI that can be explained requires a strong contribution from both the business and scientific communities. The importance of involving a wide range of disciplines in the research was also identified.

Keywords: explainable artificial intelligence, XAI, cyber threat, detection, black-box