什麼是機器學習 (Machine Learning)?

機器學習並非一時的噱頭,而是一種不需人為介入就能讓電腦自動學習資訊的技術。它利用演算法來吸收大量資訊 (也就是訓練資料),從中發掘一些獨特的模式,接著再分析這些模式,加以分類,進而對未曾見過的狀況做出預判。傳統的機器學習都是讓電腦學習如何解讀資訊,因為其資料都已經過人工標記,所以基本上,機器學習就是讓一個程式透過人工標記的資料模型來學習。

這項技術的獨特之處在於機器會培養出自己的直覺:藉由反覆接觸資料並從中歸納出規則,如此就不必每次都要針對新的狀況撰寫程式。但機器學習也不是沒有缺點:機器學習有可能出錯,因此應用時必須特別小心。1

在大數據當道的今日,機器學習顯得特別有用。我們日常當中每天都會接觸到機器學習,其應用包括:偵測電話語音當中的指令、Spotify 上的歌曲推薦、Amazon 上的購物推薦,還有 Waze 的最快路徑推薦等等。

除此之外,機器學習也應用在醫療方面,協助醫師更快、更準確診斷病情。在金融業,機器學習可以協助偵測異常、不符合消費者習慣的信用卡消費。

 

機器學習與網路安全

勒索病毒的出現,讓機器學習再度成為目光焦點,因為它可在第一時間偵測勒索病毒攻擊。

不斷演化是惡意程式的本質,幾年前,駭客會在多次攻擊當中重複使用相同的惡意程式,其雜湊碼 (也就是惡意程式的指紋) 會固定不變,直到該惡意程式效果不佳為止才不再使用。但今日的駭客則是經常改變惡意程式的指紋,例如 Cerber 勒索病毒每 15 秒就能產生一個雜湊碼不同的新變種。換句話說,每個變種只會使用一次,所以傳統的技巧就非常難以偵測,此時機器學習就能派上用場。由於機器學習是根據惡意程式的家族類型來偵測,因此就能偵測同一家族的各種變種,所以理所當然就成了一項重要的網路安全工具。

機器學習演算法可根據先前接觸惡意程式和惡意檔案的經驗來準確預判。藉由分析數百萬個不同類型的已知網路威脅,機器學習就能發掘與某個已知威脅類似的全新或尚未分類的威脅。

從根據歷史資料來預判新的惡意程式,到有效追蹤威脅並加以攔截,機器學習充分展現了強化網路安全防護以提升整體網路資安情勢的價值。

延伸閱讀:今日資安應用機器學習的五種方法 ]

儘管機器學習最近成了一項網路安全的熱門話題,但趨勢科技早在機器學習被炒熱之前 (2005 年起) 即將機器學習技術應用在我們的產品當中。

 

趨勢科技如何應用機器學習?

機器學習是趨勢科技 XGen™ 防護背後的關鍵技術,這套防護採用多層式方法,融合傳統資安技術與新興技術,在適當時機使用適當的技巧來保護端點和系統。

趨勢科技十多年來持續借助機器學習的強大力量來過濾垃圾郵件、分析網站信譽評等、發掘社群媒體上的惡意活動。趨勢科技不斷開發最新的機器學習演算法來分析大量資料,並預先判斷原本未知的檔案類型是否惡意。

 

趨勢科技機器學習里程碑

年度 機器學習里程碑
2005 早在 2005 年,趨勢科技即運用機器學習來對抗垃圾郵件,包括趨勢科技垃圾郵件防護引擎 (TMASE) 以及 Hosted Email Security 代管式電子郵件防護 (HES)。
2009 為了準確分析各種網站 (色情網站、購物網站、賭博網站等等) 的信譽評等,趨勢科技的網站信譽評等服務從 2009 年起便一直採用機器學習技術。
2010 趨勢科技 Deep Discovery™ 解決方案當中的 Script Analyzer 腳本分析器結合了機器學習與沙盒模擬分析技術來偵測專門利用漏洞進行順道下載的網頁。
2012 為了協助執法單位調查網路犯罪,尤其是針對性攻擊,趨勢科技開發了一套名為「SPuNge」的系統,結合叢集與關聯技巧來「發掘有類似行為的電腦,包括它們所存取的惡意資源和它們所處的產業」。
2013 趨勢科技開發了一套名為「Trend Micro Locality Sensitive Hashing (TLSH)」的方法,這是一套區域性敏感雜湊碼運算方法,可將機器學習應用於建立白名單,產生白名單所需的雜湊值。2013 年,趨勢科技將 TLSH 轉成 GitHub 開放原始碼專案,主動促進合作。
2015 2015 年,趨勢科技成功將機器學習應用到行動裝置應用程式信譽評等服務 (MARS) 來保護 iOS 和 Android 裝置,並整合至趨勢科技的行動安全防護產品內 (針對一般消費者的趨勢科技行動安全防護以及專為企業機構設計的趨勢科技行動安全防護企業版)。

藉由分析靜態的應用程式資訊與動態的應用程式行為,機器學習演算法就能用於即時偵測惡意程式,甚至偵測未知威脅。趨勢科技多層式行動安全防護產品所採用的演算法,還可用於偵測重新包裝的應用程式,同時也讓 TrendLabs 資訊安全情報部落格 (Security Intelligence Blog) 提供更準確的行動威脅情報。

趨勢科技從 2015 年起即不斷在 AV Comparatives 的行動安全防護評測 (Mobile Security Reviews) 當中取得優異成績。2017 年,趨勢科技行動裝置應用程式信譽評等服務 (MARS) 的機器學習技術,也讓趨勢科技在 AV-TEST 產品評測認證報告公開測試當中連續取得 100% 偵測率且零誤判的優異成績。

2017 趨勢科技 2016 年所開發出來的「預判式機器學習引擎」(Predictive Machine Learning Engine) 已成為趨勢科技 XGen 防護的重要基礎。它採用了兩種機器學習技術:「執行前靜態機器學習」與「執行中動態機器學習」,前者會根據檔案的結構資訊來判斷檔案是否惡意,後者則會根據檔案執行時是否出現惡意行為來加以判斷。
AV-TEST 在其 MacOS Sierra 評測當中測試了趨勢科技的 Antivirus Plus 產品,該測試的目的是要看看各家資安產品在 Mac 系統的惡意程式防護表現如何。趨勢科技的產品在面對 184 個 Mac 專屬威脅時展現了 99.5% 的偵測率,在面對 5,300 個測試用 Windows 惡意程式時也達到 99% 以上。此外,安裝該軟體之後的系統開機時間也比只原本的參考值 239 秒多出 5 秒。

整體而言,憑著 99.5% 的偵測率,AV-TEST 認為趨勢科技的 Mac 解決方案「提供了優異的惡意程式威脅偵測能力,非常值得推薦」,而且對系統的負擔也非常輕微 (約 2% 多一點)。

2017 年 2 月 7 日,趨勢科技更進一步鞏固其機器學習技術的先驅地位,成為率先在新一代入侵防護系統 (NGIPS) 當中導入機器學習、直接在路徑內即時偵測並攔截攻擊的廠商。

這項內建在趨勢科技 TippingPoint® NGIPS 解決方案的技術正在專利申請當中。該產品是趨勢科技 Network Defense 網路防禦解決方案的一環,同樣也採用 XGen 防護為基礎。

藉由先進的機器學習演算法,在面對未知的威脅時就能根據其好壞而加以適當分類,進而即時攔截,而且幾乎不影響網路的效能。

 

原文出處:Machine Learning