[[163896]]

【51CTO.com快譯】Deep Instinct公司發(fā)布一款新型解決方案，聲稱能夠?qū)崿F(xiàn)高達(dá)98.8%的實(shí)時(shí)APT檢測(cè)準(zhǔn)確性。

根據(jù)AV-TEST協(xié)會(huì)發(fā)布的調(diào)查結(jié)果，目前每天出現(xiàn)的新型惡意軟件數(shù)量高達(dá)39萬(wàn)，而賽門(mén)鐵克公司給出的結(jié)果更為驚人——每天惡意軟件新增數(shù)量達(dá)100萬(wàn)種。而這些惡意軟件往往尚未出現(xiàn)在實(shí)際惡意活動(dòng)當(dāng)中。

即使我們只按最低水平計(jì)算，當(dāng)前的安全形勢(shì)依然相當(dāng)嚴(yán)峻。特別是考慮到高級(jí)持續(xù)性威脅（簡(jiǎn)稱APT）層面，其屬于病毒與惡意軟件的最先進(jìn)變體，且能夠使得當(dāng)前大多數(shù)主流網(wǎng)絡(luò)安全技術(shù)毫無(wú)用武之地。甚至安全專家們也強(qiáng)調(diào)稱，企業(yè)需要將傳統(tǒng)的攻擊活動(dòng)“是否成功”問(wèn)題調(diào)整為“何時(shí)成功”。

過(guò)去幾年以來(lái)，我們已經(jīng)見(jiàn)證了多種不同類型的惡意軟件檢測(cè)技術(shù)。最初檢測(cè)工作依靠簽名機(jī)制實(shí)現(xiàn)，即將未知代碼片段與已知惡意軟件進(jìn)行比照。然而隨著惡意軟件的日均增長(zhǎng)數(shù)量已經(jīng)達(dá)到數(shù)十萬(wàn)乃至上百萬(wàn)之巨，這種被動(dòng)作法顯然已經(jīng)不再適用。

下一步進(jìn)化方向則在于啟發(fā)式檢測(cè)，其基于代碼行為特征實(shí)現(xiàn)惡意軟件識(shí)別。這意味著代碼在執(zhí)行過(guò)程一旦涉及任何可疑行為，則其即會(huì)被記錄在案。以此為基礎(chǔ)，沙箱技術(shù)的介入也就順理成章，我們需要利用這種虛擬環(huán)境運(yùn)行未知代碼，并以隔離化方式觀察其是否存在惡意嫌疑。

最近我們已看到機(jī)器學(xué)習(xí)機(jī)制開(kāi)始進(jìn)入惡意軟件檢測(cè)領(lǐng)域。這種技術(shù)采用復(fù)雜的算法對(duì)文件進(jìn)行處理，并根據(jù)手動(dòng)提取自文件中的一系列要素對(duì)其進(jìn)行惡意或者良性分類。機(jī)器需要以人的視角出發(fā)決定哪些參數(shù)、變量乃至功能可能存在安全隱患。通常情況下，機(jī)器學(xué)習(xí)類網(wǎng)絡(luò)安全解決方案主要負(fù)責(zé)可疑狀況的初步篩選，而最終處理方式則由人類分析師接手。

現(xiàn)在變革的下一步已然到來(lái)——Deep Instinct公司宣稱其已經(jīng)構(gòu)建起市場(chǎng)上第一款基于深層學(xué)習(xí)技術(shù)的網(wǎng)絡(luò)安全解決方案。深層學(xué)習(xí)是一種先進(jìn)的人工智能實(shí)現(xiàn)方式，其利用一套與人腦學(xué)習(xí)相類似的流程進(jìn)行事物認(rèn)知。深層學(xué)習(xí)將給網(wǎng)絡(luò)安全事務(wù)帶來(lái)深遠(yuǎn)影響，特別是在檢測(cè)零日惡意軟件、新型惡意軟件以及高復(fù)雜性APT的工作當(dāng)中。

一旦機(jī)器意識(shí)到惡意代碼的表現(xiàn)特征，其就能夠確定未知代碼是否屬于惡意軟件，且擁有出色的準(zhǔn)確性與實(shí)時(shí)處理能力。那么機(jī)器是如何學(xué)會(huì)識(shí)別惡意軟件的？其學(xué)習(xí)過(guò)程與人類非常相似。假設(shè)我們帶孩子去公園散步，并告訴他狗應(yīng)該是什么樣子。在游玩過(guò)程中，我們會(huì)不斷向他指明狗的不同種類，并通過(guò)這種訓(xùn)練幫助他學(xué)習(xí)這一概念。我們不需要解釋狗的具體定義，而是反復(fù)為其提供不同的實(shí)例。經(jīng)過(guò)一段時(shí)間，孩子就能夠在見(jiàn)到某只從未見(jiàn)過(guò)的動(dòng)物時(shí)，正確將其判斷為“狗”。而如果我們向其出示狗的照片，他也能夠順利發(fā)現(xiàn)其中表現(xiàn)的是哪種動(dòng)物。更進(jìn)一步，即使我們刪除其中20%的像素，他也仍能一眼認(rèn)出照片中的狗。

Deep Instinct公司正是利用這種辦法幫助其核心引擎學(xué)會(huì)識(shí)別惡意代碼。該公司匯集了數(shù)以億計(jì)的惡意軟件品種，包括Word文件、PDF文件以及可執(zhí)行文件等等，但其中具體的文件類型并不重要——因?yàn)樯顚訉W(xué)習(xí)面向未知數(shù)據(jù)類型。Deep Instinct的科學(xué)家們運(yùn)行這些文件，并通過(guò)測(cè)試將其歸類為惡意或者合法類別。在此之后，他們利用這套龐大的數(shù)據(jù)集進(jìn)行引擎訓(xùn)練，而這套人造大腦最終能夠建立起所謂預(yù)測(cè)模型。到這一階段，該核心引擎將擁有與孩子類似的認(rèn)知方式——盡管其從未見(jiàn)過(guò)某種惡意軟件，但仍能夠通過(guò)已有線索推斷其是否可能造成危害。

Deep Instinct公司將其預(yù)測(cè)模型打包為一套小型探針。該探針可被部署至運(yùn)行任意操作系統(tǒng)的任何類型設(shè)備當(dāng)中——PC、筆記本、平板電腦、智能手機(jī)乃至服務(wù)器皆可。當(dāng)設(shè)備上的某個(gè)文件被打開(kāi)或者下載完成時(shí)，該探針就會(huì)將對(duì)應(yīng)文件拆分成多個(gè)小片段，并針對(duì)其運(yùn)行預(yù)測(cè)模型。這種所謂“本能”機(jī)制會(huì)利用培訓(xùn)成果檢測(cè)其中是否包含惡意成分。這一切都能夠在五毫秒之內(nèi)完成。設(shè)備上的整個(gè)處理流程完成實(shí)時(shí)，并做出決策對(duì)惡意軟件進(jìn)行刪除、屏蔽或者企業(yè)需要執(zhí)行的對(duì)應(yīng)操作——這時(shí)惡意代碼還來(lái)不及造成任何破壞。更重要的是，其絲毫不會(huì)影響到用戶體驗(yàn)。

由于該探針已經(jīng)具備各項(xiàng)必要條件以實(shí)現(xiàn)未知文件分析，因此無(wú)需使用企業(yè)網(wǎng)絡(luò)甚至是互聯(lián)網(wǎng)連接。具體來(lái)講，其能夠以在線以及離線方式實(shí)現(xiàn)設(shè)備保護(hù)。舉例來(lái)說(shuō)，工作人員可以坐在飛機(jī)上以飛行模式實(shí)現(xiàn)安全保護(hù)。如果他插入一塊受到感染的U盤(pán)，設(shè)備上的探針會(huì)對(duì)U盤(pán)內(nèi)的文件進(jìn)行分析，同時(shí)找到可能對(duì)設(shè)備造成進(jìn)一步感染的惡意軟件。

Deep Instinct公司還推出其解決方案的無(wú)探針版本，其單純利用預(yù)測(cè)模型外加保護(hù)功能，但無(wú)需涉及設(shè)備自身。該公司同時(shí)表示，其能夠通過(guò)API或者SDK接入任何類型的網(wǎng)關(guān)。舉例來(lái)說(shuō)，Deep Instinct的這套模型能夠同F(xiàn)ireLayer的云訪問(wèn)安全中介進(jìn)行集成，段實(shí)現(xiàn)惡意軟件檢測(cè)并預(yù)防指向云文件及應(yīng)用的威脅因素。

Deep Instinct公司仍在不斷訓(xùn)練基引擎，從而確保其能夠識(shí)別出更多新型惡意軟件。盡管其“本能”機(jī)制一直在不斷更新，設(shè)備之上數(shù)月未更新的探針仍然能夠提供非常出色的判斷準(zhǔn)確率。Deep Instinct公司指出，四個(gè)月未進(jìn)行更新只會(huì)令其探針的惡意軟件檢測(cè)準(zhǔn)確率下降0.5%至1%。

由德雷賓大學(xué)與西門(mén)子CERT進(jìn)行的基準(zhǔn)測(cè)試結(jié)果顯示，Deep Instinct公司的方案能夠匹敵市場(chǎng)上的任何頂級(jí)安全解決方案。在嘗試識(shí)別移動(dòng)惡意軟件方面，目前市場(chǎng)上的前十大安全廠商的平均準(zhǔn)確率為61.5%，而Deep Instinct的準(zhǔn)確率則高達(dá)99.86%。在另一項(xiàng)針對(duì)16000種APT進(jìn)行的測(cè)試當(dāng)中，Deep Instinct的惡意軟件識(shí)別率亦高達(dá)98.8%。

其具體實(shí)現(xiàn)流程包括在設(shè)備上安裝探針、在網(wǎng)絡(luò)中安裝對(duì)應(yīng)設(shè)備對(duì)實(shí)現(xiàn)策略管理、提供儀表板外加報(bào)告機(jī)制。該公司表示，其將利用現(xiàn)有數(shù)據(jù)集文件為潛在客戶提供概念驗(yàn)證方案，這意味著各企業(yè)客戶完全能夠?qū)⒃摦a(chǎn)品直接同現(xiàn)有網(wǎng)絡(luò)安全工具進(jìn)行比對(duì)。

原文鏈接：如何使用深度學(xué)習(xí)AI檢測(cè)并預(yù)防惡意軟件及APT

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】