分類: 機器學習 machine-learning

隨著虛擬貨幣惡意挖礦活動的急速發展，能夠聰明且持續有效偵測這類威脅的方法也成為網路安全防護的必備功能。透過趨勢科技的TLSH（Trend Micro Locality Sensitive Hashing，用來識別相似檔案的機器學習雜湊演算法），可以將收集到的相似虛擬貨幣挖礦病毒樣本集群（cluster）起來。將樣本依照行為和檔案類型進行分組，就能夠偵測相似或修改過的惡意軟體。

TLSH可以幫助我們將虛擬貨幣挖礦病毒集群起來。做法是計算檔案與檔案間數學意義上的“距離分數”，用來分析和偵測虛擬貨幣挖礦病毒集群。我們的演算法會產生某一組惡意軟體都接近的挖礦病毒中心TLSH。

集群惡意軟體樣本可以讓安全研究人員建立一對多的特徵碼，用來主動識別更多相似檔案。這是因為自動化系統（或是逆向工程師）可以檢查惡意軟體群組成員並識別成員間的相似性。當我們的系統在檢查新檔案時，會去檢視是否具備惡意軟體群組呈現的元素，並確認新檔案是否屬於惡意軟體群組的範圍。

除此之外，TLSH還可以將大量可能惡意或未知檔案對已知威脅進行即時且可擴充的搜尋和交叉比對。 繼續閱讀

網路犯罪集團隨時都在尋找新的策略來擊敗資安防護產品/防毒軟體以提高其成功機率。

隨著惡意檔案變形與包裝技巧日益普遍，傳統採用特徵比對技術的用戶端 (端點) 防護，已無法「獨力」面對威脅，所以新的跨世代防護方法應運而生。除此之外，後台系統在分析今日惡意程式時也顯得力不從心，因為不論是靜態或動態分析技巧，當遇到的惡意程式經過複雜的加密編碼或具備沙盒反制能力時，將無法發揮作用。再者，新的威脅數量越來越多，需要一套更快的偵測系統才能妥善保護全球的使用者。

為了滿足這項需求，趨勢科技開發了一套系統來克服靜態及動態偵測技巧的困境，並且即時偵測最新威脅。我們結合了機器學習和圖像推理，只需不到一秒的時間就能分辨軟體下載的好壞並加以分類。

圖 1：偵測架構示意圖。

每個受保護的端點都會執行一個下載辨識代理程式 (Download Identification Agent，簡稱 DIA)，用來偵測新的軟體下載。代理程式將負責蒐集下載相關情境資訊，將資訊傳送至趨勢科技的分類系統 (稱之為「惡意程式下載偵測系統」，簡稱 MDD)。接著，代理程式暫時將下載的檔案隔離，直到分類結果出爐為止。所謂的情境資訊包括下載的用戶端與端點組態，但不包含被下載的檔案本身。

圖 2：檔案下載分類流程示意圖。 繼續閱讀