人工智能威脅檢測的兩大創(chuàng)新實(shí)踐
二進(jìn)制可視化和機(jī)器學(xué)習(xí)的結(jié)合在網(wǎng)絡(luò)安全方面已經(jīng)展示了巨大潛力,惡意軟件和釣魚網(wǎng)站檢測就是其中的熱點(diǎn)領(lǐng)域,本文我們將介紹該領(lǐng)域的兩大創(chuàng)新應(yīng)用進(jìn)展。
一、用深度學(xué)習(xí)檢測惡意軟件
檢測惡意軟件的傳統(tǒng)方法是在文件中搜索惡意負(fù)載的已知簽名。惡意軟件檢測器擁有一個包含病毒操作碼序列或代碼片段的數(shù)據(jù)庫,它可搜索被檢測的新文件中是否存在這些簽名。但惡意軟件開發(fā)人員可以使用不同的技術(shù)輕松規(guī)避此類檢測方法,例如混淆檢測代碼或使用多態(tài)技術(shù)在運(yùn)行時(shí)改變他們的代碼。雖然動態(tài)分析工具可嘗試在運(yùn)行時(shí)檢測惡意行為,但速度較慢,并且需要設(shè)置沙箱環(huán)境來測試可疑程序。
近年來,研究人員嘗試了一系列機(jī)器學(xué)習(xí)技術(shù)來檢測惡意軟件。這些機(jī)器學(xué)習(xí)模型在惡意軟件檢測的一些領(lǐng)域上取得了進(jìn)展,例如代碼混淆。但機(jī)器學(xué)習(xí)也面臨著新挑戰(zhàn),包括需要學(xué)習(xí)太多的特征和分析目標(biāo)樣本的虛擬環(huán)境。
二進(jìn)制可視化可以通過將惡意軟件檢測轉(zhuǎn)化為計(jì)算機(jī)視覺問題來重新定義惡意軟件檢測。在這種方法中,文件通過將二進(jìn)制和ASCII值轉(zhuǎn)換為顏色代碼的算法運(yùn)行。
研究人員表明,當(dāng)使用這種方法可視化良性和惡意文件時(shí),可以將兩者分開,惡意文件往往包含各種類別的ASCII字符,呈現(xiàn)出豐富多彩的圖像,而良性文件則具有更清晰的圖片和值分布。企業(yè)可以利用此檢測模型進(jìn)行惡意文件檢測。
研究人員創(chuàng)建了一個包含良性和惡意文件的可視化二進(jìn)制文件數(shù)據(jù)集,該數(shù)據(jù)集包含各種惡意負(fù)載(病毒、蠕蟲、木馬、rootkit 等)和文件類型(.exe、.doc、.pdf、.txt 等)。
然后研究人員使用這些圖像來訓(xùn)練分類器神經(jīng)網(wǎng)絡(luò)。他們使用的架構(gòu)是自組織增量神經(jīng)網(wǎng)絡(luò)(SOINN),速度快,尤其擅長處理噪聲數(shù)據(jù)。他們還使用圖像預(yù)處理技術(shù)將二值圖像縮小為 1,024 維特征向量,這使得在輸入數(shù)據(jù)中學(xué)習(xí)模式變得更加容易且計(jì)算效率更高。由此產(chǎn)生的神經(jīng)網(wǎng)絡(luò)足夠高效,可以在配備英特爾酷睿i5處理器的個人工作站上在15秒內(nèi)計(jì)算包含4,000個樣本的訓(xùn)練數(shù)據(jù)集。
研究人員的實(shí)驗(yàn)表明,深度學(xué)習(xí)模型特別擅長檢測.doc和.pdf文件中的惡意軟件,這些文件是勒索軟件攻擊的首選媒介。研究人員建議,如果調(diào)整模型以將文件類型作為其學(xué)習(xí)維度之一,則可以提高模型的性能。總體而言,該算法實(shí)現(xiàn)了約74%的平均檢測率。
二、用深度學(xué)習(xí)檢測釣魚網(wǎng)站
網(wǎng)絡(luò)釣魚攻擊正成為組織和個人面臨的日益嚴(yán)重的問題。許多網(wǎng)絡(luò)釣魚攻擊誘使受害者點(diǎn)擊一個指向惡意網(wǎng)站的鏈接,這些網(wǎng)站偽裝成合法服務(wù),他們最終會在其中輸入敏感信息,例如憑據(jù)或財(cái)務(wù)信息。
檢測網(wǎng)絡(luò)釣魚網(wǎng)站的傳統(tǒng)方法主要是將惡意域名列入黑名單或?qū)踩蛎腥氚酌麊巍G耙环N方法對名單內(nèi)未收錄的新型網(wǎng)絡(luò)釣魚網(wǎng)站沒有篩選能力,而后一種方法限制性太強(qiáng),需要付出大量努力才能提供對所有安全域名的訪問。
2020年,研究人員使用二進(jìn)制可視化和深度學(xué)習(xí)開發(fā)了一種檢測網(wǎng)絡(luò)釣魚網(wǎng)站的新方法。該技術(shù)使用二進(jìn)制可視化庫將網(wǎng)站標(biāo)記和源代碼轉(zhuǎn)換為顏色值。與良性和惡意應(yīng)用程序文件的情況一樣,在可視化網(wǎng)站時(shí),會出現(xiàn)區(qū)分安全和惡意網(wǎng)站的獨(dú)特模式。研究人員寫道:“合法站點(diǎn)具有更詳細(xì)的RGB值,因?yàn)樗鼘⒂蓙碜栽S可證、超鏈接和詳細(xì)數(shù)據(jù)輸入表的附加字符構(gòu)成。而網(wǎng)絡(luò)釣魚網(wǎng)站通常包含單個或不包含CSS引用、多個圖像而不是表單和一個沒有安全腳本的登錄表單。這將在抓取時(shí)創(chuàng)建一個較小的數(shù)據(jù)輸入字符串。”
研究人員創(chuàng)建了一個代表合法和惡意網(wǎng)站代碼的圖像數(shù)據(jù)集,并用它來訓(xùn)練分類機(jī)器學(xué)習(xí)模型。他們使用的架構(gòu)是MobileNet,這是一種輕量級卷積神經(jīng)網(wǎng)絡(luò)(CNN),經(jīng)過優(yōu)化可在用戶設(shè)備上運(yùn)行,而不是在大容量云服務(wù)器上運(yùn)行。CNN特別適用于計(jì)算機(jī)視覺任務(wù),包括圖像分類和對象檢測。
一旦模型經(jīng)過訓(xùn)練,它就會被插入到網(wǎng)絡(luò)釣魚檢測工具中。當(dāng)用戶偶然發(fā)現(xiàn)一個新網(wǎng)站時(shí),它首先檢查該URL是否包含在其惡意域數(shù)據(jù)庫中。如果是新域名,則通過可視化算法進(jìn)行轉(zhuǎn)化,并通過神經(jīng)網(wǎng)絡(luò)運(yùn)行,檢查是否有惡意網(wǎng)站的模式。這種兩步架構(gòu)確保系統(tǒng)使用黑名單數(shù)據(jù)庫的速度和基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)釣魚檢測技術(shù)的智能檢測。
研究人員的實(shí)驗(yàn)表明,該技術(shù)檢測網(wǎng)絡(luò)釣魚網(wǎng)站的準(zhǔn)確率高達(dá)94%。此外,研究人員還在探索使用二進(jìn)制可視化和機(jī)器學(xué)習(xí)來檢測物聯(lián)網(wǎng)網(wǎng)絡(luò)中的惡意軟件流量。二元可視化表明,只要有足夠的創(chuàng)造力和嚴(yán)謹(jǐn)性,我們就可以為舊問題找到新的解決方案。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
