如何使用深度學習AI檢測并預防惡意軟件及APT
譯文【51CTO.com快譯】Deep Instinct公司發布一款新型解決方案,聲稱能夠實現高達98.8%的實時APT檢測準確性。
根據AV-TEST協會發布的調查結果,目前每天出現的新型惡意軟件數量高達39萬,而賽門鐵克公司給出的結果更為驚人——每天惡意軟件新增數量達100萬種。而這些惡意軟件往往尚未出現在實際惡意活動當中。
即使我們只按最低水平計算,當前的安全形勢依然相當嚴峻。特別是考慮到高級持續性威脅(簡稱APT)層面,其屬于病毒與惡意軟件的最先進變體,且能夠使得當前大多數主流網絡安全技術毫無用武之地。甚至安全專家們也強調稱,企業需要將傳統的攻擊活動“是否成功”問題調整為“何時成功”。
過去幾年以來,我們已經見證了多種不同類型的惡意軟件檢測技術。最初檢測工作依靠簽名機制實現,即將未知代碼片段與已知惡意軟件進行比照。然而隨著惡意軟件的日均增長數量已經達到數十萬乃至上百萬之巨,這種被動作法顯然已經不再適用。
下一步進化方向則在于啟發式檢測,其基于代碼行為特征實現惡意軟件識別。這意味著代碼在執行過程一旦涉及任何可疑行為,則其即會被記錄在案。以此為基礎,沙箱技術的介入也就順理成章,我們需要利用這種虛擬環境運行未知代碼,并以隔離化方式觀察其是否存在惡意嫌疑。
最近我們已看到機器學習機制開始進入惡意軟件檢測領域。這種技術采用復雜的算法對文件進行處理,并根據手動提取自文件中的一系列要素對其進行惡意或者良性分類。機器需要以人的視角出發決定哪些參數、變量乃至功能可能存在安全隱患。通常情況下,機器學習類網絡安全解決方案主要負責可疑狀況的初步篩選,而最終處理方式則由人類分析師接手。
現在變革的下一步已然到來——Deep Instinct公司宣稱其已經構建起市場上第一款基于深層學習技術的網絡安全解決方案。深層學習是一種先進的人工智能實現方式,其利用一套與人腦學習相類似的流程進行事物認知。深層學習將給網絡安全事務帶來深遠影響,特別是在檢測零日惡意軟件、新型惡意軟件以及高復雜性APT的工作當中。
一旦機器意識到惡意代碼的表現特征,其就能夠確定未知代碼是否屬于惡意軟件,且擁有出色的準確性與實時處理能力。那么機器是如何學會識別惡意軟件的?其學習過程與人類非常相似。假設我們帶孩子去公園散步,并告訴他狗應該是什么樣子。在游玩過程中,我們會不斷向他指明狗的不同種類,并通過這種訓練幫助他學習這一概念。我們不需要解釋狗的具體定義,而是反復為其提供不同的實例。經過一段時間,孩子就能夠在見到某只從未見過的動物時,正確將其判斷為“狗”。而如果我們向其出示狗的照片,他也能夠順利發現其中表現的是哪種動物。更進一步,即使我們刪除其中20%的像素,他也仍能一眼認出照片中的狗。
Deep Instinct公司正是利用這種辦法幫助其核心引擎學會識別惡意代碼。該公司匯集了數以億計的惡意軟件品種,包括Word文件、PDF文件以及可執行文件等等,但其中具體的文件類型并不重要——因為深層學習面向未知數據類型。Deep Instinct的科學家們運行這些文件,并通過測試將其歸類為惡意或者合法類別。在此之后,他們利用這套龐大的數據集進行引擎訓練,而這套人造大腦最終能夠建立起所謂預測模型。到這一階段,該核心引擎將擁有與孩子類似的認知方式——盡管其從未見過某種惡意軟件,但仍能夠通過已有線索推斷其是否可能造成危害。
Deep Instinct公司將其預測模型打包為一套小型探針。該探針可被部署至運行任意操作系統的任何類型設備當中——PC、筆記本、平板電腦、智能手機乃至服務器皆可。當設備上的某個文件被打開或者下載完成時,該探針就會將對應文件拆分成多個小片段,并針對其運行預測模型。這種所謂“本能”機制會利用培訓成果檢測其中是否包含惡意成分。這一切都能夠在五毫秒之內完成。設備上的整個處理流程完成實時,并做出決策對惡意軟件進行刪除、屏蔽或者企業需要執行的對應操作——這時惡意代碼還來不及造成任何破壞。更重要的是,其絲毫不會影響到用戶體驗。
由于該探針已經具備各項必要條件以實現未知文件分析,因此無需使用企業網絡甚至是互聯網連接。具體來講,其能夠以在線以及離線方式實現設備保護。舉例來說,工作人員可以坐在飛機上以飛行模式實現安全保護。如果他插入一塊受到感染的U盤,設備上的探針會對U盤內的文件進行分析,同時找到可能對設備造成進一步感染的惡意軟件。
Deep Instinct公司還推出其解決方案的無探針版本,其單純利用預測模型外加保護功能,但無需涉及設備自身。該公司同時表示,其能夠通過API或者SDK接入任何類型的網關。舉例來說,Deep Instinct的這套模型能夠同FireLayer的云訪問安全中介進行集成,段實現惡意軟件檢測并預防指向云文件及應用的威脅因素。
Deep Instinct公司仍在不斷訓練基引擎,從而確保其能夠識別出更多新型惡意軟件。盡管其“本能”機制一直在不斷更新,設備之上數月未更新的探針仍然能夠提供非常出色的判斷準確率。Deep Instinct公司指出,四個月未進行更新只會令其探針的惡意軟件檢測準確率下降0.5%至1%。
由德雷賓大學與西門子CERT進行的基準測試結果顯示,Deep Instinct公司的方案能夠匹敵市場上的任何頂級安全解決方案。在嘗試識別移動惡意軟件方面,目前市場上的前十大安全廠商的平均準確率為61.5%,而Deep Instinct的準確率則高達99.86%。在另一項針對16000種APT進行的測試當中,Deep Instinct的惡意軟件識別率亦高達98.8%。
其具體實現流程包括在設備上安裝探針、在網絡中安裝對應設備對實現策略管理、提供儀表板外加報告機制。該公司表示,其將利用現有數據集文件為潛在客戶提供概念驗證方案,這意味著各企業客戶完全能夠將該產品直接同現有網絡安全工具進行比對。
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
