網路犯罪集團隨時都在尋找新的策略來擊敗資安防護產品/防毒軟體以提高其成功機率。
隨著惡意檔案變形與包裝技巧日益普遍,傳統採用特徵比對技術的用戶端 (端點) 防護,已無法「獨力」面對威脅,所以新的跨世代防護方法應運而生。除此之外,後台系統在分析今日惡意程式時也顯得力不從心,因為不論是靜態或動態分析技巧,當遇到的惡意程式經過複雜的加密編碼或具備沙盒反制能力時,將無法發揮作用。再者,新的威脅數量越來越多,需要一套更快的偵測系統才能妥善保護全球的使用者。
為了滿足這項需求,趨勢科技開發了一套系統來克服靜態及動態偵測技巧的困境,並且即時偵測最新威脅。我們結合了機器學習和圖像推理,只需不到一秒的時間就能分辨軟體下載的好壞並加以分類。
圖 1:偵測架構示意圖。
每個受保護的端點都會執行一個下載辨識代理程式 (Download Identification Agent,簡稱 DIA),用來偵測新的軟體下載。代理程式將負責蒐集下載相關情境資訊,將資訊傳送至趨勢科技的分類系統 (稱之為「惡意程式下載偵測系統」,簡稱 MDD)。接著,代理程式暫時將下載的檔案隔離,直到分類結果出爐為止。所謂的情境資訊包括下載的用戶端與端點組態,但不包含被下載的檔案本身。
圖 2:檔案下載分類流程示意圖。
這套方法完全無視下載的內容:系統判斷時無須檢查被下載的檔案或實際連上下載網址。這正是為何這套系統能夠在極短時間內處理大量新的威脅。不僅如此,還可偵測非傳統端點裝置上發現的威脅,如:智慧型手機和物聯網 (IoT) 裝置。因為這套系統對任何作業系統、任何端點裝置皆可適用。
簡而言之,這套系統是仰賴一張由下載事件三要素 (網址、檔案、端點裝置) 所構成的節點圖來運作,利用圖像機率模型計算出某一新節點 (也就是從未見過的下載檔案) 是否有害,如「圖 2」所示。
新下載檔案的相關資訊來自於端點,並且納入圖中成為新的節點。我們從相鄰的節點計算出其信譽評等,藉此進行分類,如「圖 3」所示。
圖 3:信譽評等的計算。
如何利用這套方法設計出一套分類系統?舉例來說,如果目前正要分類的軟體下載是來自於某個過去曾經發現惡意程式的端點,其信譽評等就不高。同理,若下載網址所在的網域以前曾經散布惡意內容,其信譽評等也不高。最後系統會根據這些信譽評等來做判斷,進而攔截危險的下載。
那麼信譽評等要怎樣才會高?假設下載的來源是可信賴的網域,或者正在下載檔案的端點裝置從未感染過惡意程式 (例如使用者隨時做好系統修補,正確設定裝置組態等等),其信譽自然就高。其信譽評等也會散播至鄰近節點,藉此協助偵測新的威脅。
結論
今日的威脅和惡意程式讓資安產業無時無刻面臨龐大壓力,我們需要創新的偵測技巧來發掘多年來一直無法有效偵測的威脅。趨勢科技研究團隊隨時都在尋找新的解決方案並試圖改進,來面對新的挑戰。
本文所介紹的方法正是朝著此一方向邁進,它採用了一種完全不須蒐集或檢查下載檔案或網址的技巧。這與需要逐一分析每個檔案和網址的傳統方法大相逕庭。
此外,特徵比對黑白分明的判斷方法也被機率值所取代:偵測結果取決於「人工智慧」演算法所產生的機率模型,這套演算法會根據由數百萬端點所匯集成的全球情報來自行判斷。
更重要的是,這套解決方案可適用任何作業系統。不論是傳統端點 (如個人電腦) 或物聯網(IoT ,Internet of Thing)裝置 (如汽車、智慧電視、空調系統等等) 都能受到保護。
這套方法曾於第 11 屆 ACM Asia Conference on Computer and Communications Security 研討會上發表,目前已獲得美國專利,編號:14/988,430。此外,您也可以參考我們有關機器學習領域的其他研究。