趨勢科技研究人員的一項研究顯示下載的軟體檔案中有83%屬於未知或未經分類過的檔案,有些甚至已經出現超過兩年了。因為大多數惡意軟體威脅來自於下載事件,因此研究人員開發了具可讀性的機器學習系統,能夠成功地將未知檔案分類為正常或惡意。
這項研究利用在七個月內所收集的300萬份的網路下載事件作為資料集。這些事件利用多種趨勢科技內部系統及外部公開系統來標記以進行研究和分析。但只有不到17%的資料集能用傳統方法進行標記。
儘管這些未知檔案的普及率非常低,但研究結果發現有69%的電腦下載一個或多個可能為惡意軟體的未知軟體檔案。
利用機器學習來解開未知狀態
為了減少未知下載軟體的數量,趨勢科技研究人員開發了一套機器學習系統,這個系統會將對軟體檔案資訊和特徵的觀察結果自動產生出偵測規則。這套可據以行動的智慧系統分析下載軟體檔案的以下資訊:
機器學習並非一時的噱頭,而是一種不需人為介入就能讓電腦自動學習資訊的技術。它利用演算法來吸收大量資訊 (也就是訓練資料),從中發掘一些獨特的模式,接著再分析這些模式,加以分類,進而對未曾見過的狀況做出預判。傳統的機器學習都是讓電腦學習如何解讀資訊,因為其資料都已經過人工標記,所以基本上,機器學習就是讓一個程式透過人工標記的資料模型來學習。
這項技術的獨特之處在於機器會培養出自己的直覺:藉由反覆接觸資料並從中歸納出規則,如此就不必每次都要針對新的狀況撰寫程式。但機器學習也不是沒有缺點:機器學習有可能出錯,因此應用時必須特別小心。1
在大數據當道的今日,機器學習顯得特別有用。我們日常當中每天都會接觸到機器學習,其應用包括:偵測電話語音當中的指令、Spotify 上的歌曲推薦、Amazon 上的購物推薦,還有 Waze 的最快路徑推薦等等。 繼續閱讀
隨著虛擬貨幣惡意挖礦活動的急速發展,能夠聰明且持續有效偵測這類威脅的方法也成為網路安全防護的必備功能。透過趨勢科技的TLSH(Trend Micro Locality Sensitive Hashing,用來識別相似檔案的機器學習雜湊演算法),可以將收集到的相似虛擬貨幣挖礦病毒樣本集群(cluster)起來。將樣本依照行為和檔案類型進行分組,就能夠偵測相似或修改過的惡意軟體。
TLSH可以幫助我們將虛擬貨幣挖礦病毒集群起來。做法是計算檔案與檔案間數學意義上的“距離分數”,用來分析和偵測虛擬貨幣挖礦病毒集群。我們的演算法會產生某一組惡意軟體都接近的挖礦病毒中心TLSH。
集群惡意軟體樣本可以讓安全研究人員建立一對多的特徵碼,用來主動識別更多相似檔案。這是因為自動化系統(或是逆向工程師)可以檢查惡意軟體群組成員並識別成員間的相似性。當我們的系統在檢查新檔案時,會去檢視是否具備惡意軟體群組呈現的元素,並確認新檔案是否屬於惡意軟體群組的範圍。
除此之外,TLSH還可以將大量可能惡意或未知檔案對已知威脅進行即時且可擴充的搜尋和交叉比對。 繼續閱讀
網路犯罪集團隨時都在尋找新的策略來擊敗資安防護產品/防毒軟體以提高其成功機率。
隨著惡意檔案變形與包裝技巧日益普遍,傳統採用特徵比對技術的用戶端 (端點) 防護,已無法「獨力」面對威脅,所以新的跨世代防護方法應運而生。除此之外,後台系統在分析今日惡意程式時也顯得力不從心,因為不論是靜態或動態分析技巧,當遇到的惡意程式經過複雜的加密編碼或具備沙盒反制能力時,將無法發揮作用。再者,新的威脅數量越來越多,需要一套更快的偵測系統才能妥善保護全球的使用者。
為了滿足這項需求,趨勢科技開發了一套系統來克服靜態及動態偵測技巧的困境,並且即時偵測最新威脅。我們結合了機器學習和圖像推理,只需不到一秒的時間就能分辨軟體下載的好壞並加以分類。
圖 1:偵測架構示意圖。
每個受保護的端點都會執行一個下載辨識代理程式 (Download Identification Agent,簡稱 DIA),用來偵測新的軟體下載。代理程式將負責蒐集下載相關情境資訊,將資訊傳送至趨勢科技的分類系統 (稱之為「惡意程式下載偵測系統」,簡稱 MDD)。接著,代理程式暫時將下載的檔案隔離,直到分類結果出爐為止。所謂的情境資訊包括下載的用戶端與端點組態,但不包含被下載的檔案本身。
圖 2:檔案下載分類流程示意圖。 繼續閱讀
駭客在入侵組織前通常會先盡可能地收集目標相關資訊。其中包括公司相關人士的詳細資訊以作為之後的釣魚攻擊所需。隨著機器學習(Machine Learning)出現,駭客不必再手動進行這些研究工作,而是可以自動化並加速整個過程。
這樣子利用機器學習也代表利用公司高階主管甚至更低層員工個人資料來進行的針對性攻擊會飆升。此類網路釣魚攻擊方式可能將成功機會提高多達30%。
許多網站和系統利用驗證碼(CAPTCHA)機制來區分真人與機器人。不過在機器學習時代,這些以往有效的作法也受到了影響。
這並非駭客第一次利用機器學習來破解驗證碼(CAPTCHA)機制 – 在2012年,研究人員證明可以利用機器學習繞過reCAPTCHA系統,成功率達到82%。而最近在2017年,研究人員利用機器學習繞過Google reCAPTCHA保護機制的成功率達到98%。
精細的網路犯罪一直在尋找下一個大規模的攻擊手法,並且不會吝於嘗試新方法來攻破目標並入侵企業的IT資產和敏感資料。要阻止這類威脅的最好方法之一是提高人們的安全意識並增加對最新風險及如何防範的了解。
目前駭客的一個新興策略是使用機器學習(Machine Learning)。就跟許多先進創新的技術一樣,機器學習可以對企業有益,卻也能夠幫助惡意活動。
機器學習:入門
許多IT和開發團隊及技術機構都正在使用機器學習 ,正如SAS所解釋,機器學習是人工智慧的一個分支,它建立在構建自動化分析模型的基礎上。換句話說,機器學習讓系統能夠根據其持續使用和經驗來增加自己的知識並調整程序和活動。
“機器學習的迭代方面非常重要,因為隨著模型接觸到新資料,需要能夠獨立適應,”SAS表示。“它們從之前的計算中學習以產生可靠、可重複的決策和結果。這並不是一門新學科,但卻獲得了新動力。”
人們也可能在日常生活中碰過某種形式的機器學習演算法 – 如串流媒體服務和網路賣場的線上推薦,還有自動詐騙偵測等代表現實世界裡已經存在的機器學習用例。 繼續閱讀