隨著虛擬貨幣惡意挖礦活動的急速發展,能夠聰明且持續有效偵測這類威脅的方法也成為網路安全防護的必備功能。透過趨勢科技的TLSH(Trend Micro Locality Sensitive Hashing,用來識別相似檔案的機器學習雜湊演算法),可以將收集到的相似虛擬貨幣挖礦病毒樣本集群(cluster)起來。將樣本依照行為和檔案類型進行分組,就能夠偵測相似或修改過的惡意軟體。
TLSH可以幫助我們將虛擬貨幣挖礦病毒集群起來。做法是計算檔案與檔案間數學意義上的“距離分數”,用來分析和偵測虛擬貨幣挖礦病毒集群。我們的演算法會產生某一組惡意軟體都接近的挖礦病毒中心TLSH。
集群惡意軟體樣本可以讓安全研究人員建立一對多的特徵碼,用來主動識別更多相似檔案。這是因為自動化系統(或是逆向工程師)可以檢查惡意軟體群組成員並識別成員間的相似性。當我們的系統在檢查新檔案時,會去檢視是否具備惡意軟體群組呈現的元素,並確認新檔案是否屬於惡意軟體群組的範圍。
除此之外,TLSH還可以將大量可能惡意或未知檔案對已知威脅進行即時且可擴充的搜尋和交叉比對。 繼續閱讀
網路犯罪集團隨時都在尋找新的策略來擊敗資安防護產品/防毒軟體以提高其成功機率。
隨著惡意檔案變形與包裝技巧日益普遍,傳統採用特徵比對技術的用戶端 (端點) 防護,已無法「獨力」面對威脅,所以新的跨世代防護方法應運而生。除此之外,後台系統在分析今日惡意程式時也顯得力不從心,因為不論是靜態或動態分析技巧,當遇到的惡意程式經過複雜的加密編碼或具備沙盒反制能力時,將無法發揮作用。再者,新的威脅數量越來越多,需要一套更快的偵測系統才能妥善保護全球的使用者。
為了滿足這項需求,趨勢科技開發了一套系統來克服靜態及動態偵測技巧的困境,並且即時偵測最新威脅。我們結合了機器學習和圖像推理,只需不到一秒的時間就能分辨軟體下載的好壞並加以分類。
圖 1:偵測架構示意圖。
每個受保護的端點都會執行一個下載辨識代理程式 (Download Identification Agent,簡稱 DIA),用來偵測新的軟體下載。代理程式將負責蒐集下載相關情境資訊,將資訊傳送至趨勢科技的分類系統 (稱之為「惡意程式下載偵測系統」,簡稱 MDD)。接著,代理程式暫時將下載的檔案隔離,直到分類結果出爐為止。所謂的情境資訊包括下載的用戶端與端點組態,但不包含被下載的檔案本身。
圖 2:檔案下載分類流程示意圖。 繼續閱讀
駭客在入侵組織前通常會先盡可能地收集目標相關資訊。其中包括公司相關人士的詳細資訊以作為之後的釣魚攻擊所需。隨著機器學習(Machine Learning)出現,駭客不必再手動進行這些研究工作,而是可以自動化並加速整個過程。
這樣子利用機器學習也代表利用公司高階主管甚至更低層員工個人資料來進行的針對性攻擊會飆升。此類網路釣魚攻擊方式可能將成功機會提高多達30%。
許多網站和系統利用驗證碼(CAPTCHA)機制來區分真人與機器人。不過在機器學習時代,這些以往有效的作法也受到了影響。
這並非駭客第一次利用機器學習來破解驗證碼(CAPTCHA)機制 – 在2012年,研究人員證明可以利用機器學習繞過reCAPTCHA系統,成功率達到82%。而最近在2017年,研究人員利用機器學習繞過Google reCAPTCHA保護機制的成功率達到98%。
精細的網路犯罪一直在尋找下一個大規模的攻擊手法,並且不會吝於嘗試新方法來攻破目標並入侵企業的IT資產和敏感資料。要阻止這類威脅的最好方法之一是提高人們的安全意識並增加對最新風險及如何防範的了解。
目前駭客的一個新興策略是使用機器學習(Machine Learning)。就跟許多先進創新的技術一樣,機器學習可以對企業有益,卻也能夠幫助惡意活動。
機器學習:入門
許多IT和開發團隊及技術機構都正在使用機器學習 ,正如SAS所解釋,機器學習是人工智慧的一個分支,它建立在構建自動化分析模型的基礎上。換句話說,機器學習讓系統能夠根據其持續使用和經驗來增加自己的知識並調整程序和活動。
“機器學習的迭代方面非常重要,因為隨著模型接觸到新資料,需要能夠獨立適應,”SAS表示。“它們從之前的計算中學習以產生可靠、可重複的決策和結果。這並不是一門新學科,但卻獲得了新動力。”
人們也可能在日常生活中碰過某種形式的機器學習演算法 – 如串流媒體服務和網路賣場的線上推薦,還有自動詐騙偵測等代表現實世界裡已經存在的機器學習用例。 繼續閱讀
資安產業都很喜歡收集資料,研究人員也不例外。有了更多資料,就能夠對特定威脅所發表的聲明更有信心。但是大量資料也需要更多的資源進行處理,要從高度非結構化的資料中提取有意義和有用的資訊是相當困難的。結果往往就是必須進行手動分析,迫使資安專家(如調查員、滲透測試工程師、逆向工程師、分析師)必須透過繁瑣且重複的操作過程來處理資料。
我們開發了一套基於開放原始碼資料庫的彈性工具能夠有效地分析數百萬筆被置換(defaced)網頁。它也可以被用在一般攻擊所產生的網頁。這套工具稱為DefPloreX(來自“Defacement eXplorer”),結合了機器學習和視覺化技術將非結構化資料轉化成有意義的高階描述。將來自資安事件、入侵、攻擊和漏洞的即時資料有效地處理和濃縮成可瀏覽的物件,適用於高效率的大規模電子犯罪鑑識和調查。
DefPloreX可以輸入包含了待分析網路事件後設資料紀錄(如網址)的純文字檔案(如CSV檔),用headless瀏覽器(無使用者介面的瀏覽器)瀏覽其資源,從置換網頁提取特徵,將產生的資料儲存到Elastic索引。分散式的headless瀏覽器及大規模的資料處理操作都是透過Celery(分散式任務協作的實際上標準)來協調。DefPloreX使用眾多Python資料分析技術和工具來建立資料的離線視圖(view),可以更易於分析和探索。
DefPloreX最有趣的地方是會自動將相似的置換網頁分群,並將網路攻擊事件組成攻擊活動。整個過程只需傳遞資料一次,我們所用的群集技術在本質上是進行平行處理而不受限於記憶體。DefPloreX提供文字和網頁兩種使用者介面,可以用簡單語言查詢以用在調查和鑑識上。因為它是基於Elastic Search,DefPloreX所產生的資料可以輕易地跟其他系統整合。
使用案例
下面是分析師如何利用DefPloreX來調查一起被稱為“Operation France”(在Twitter上使用“#opfrance”)攻擊活動的例子。這起攻擊活動是由網路穆斯林激進分子所運作,目的是支持激進伊斯蘭主義。
如圖1所示,該攻擊活動在4年間(2013-2016)攻擊了1,313個網站,主要是針對法國網域(圖2)。DefPloreX揭示了攻擊分子的組成以及攻擊所用的置換範本(圖3)。一些成員明確表示支持由伊斯蘭極端分子(如恐怖主義)對法國進行的攻擊(圖4)。
圖1-4、攻擊活動Operation France(#opfrance)的調查範例(點擊放大)
曾經只出現在科幻場景的人工智慧(AI)如今已經成為現實。這項技術的突破以及深度學習和機器學習等相關學科的發展潛力是如此之大,連英國和美國等政府都公佈了其對社會長期影響的報告。沒有什麼比 AI 的潛力更對網路安全產業更有吸引力了。
這也是為什麼趨勢科技會對該領域進行龐大的投資,包括:與學術界的合作;大批新員工在該領域建立專業能力;新產品開發;及台灣T-Brain平台等舉動。我們決心用世界級的 AI 安全專業能力來擴展業界領先的雲端安全功能。
AI和機器學習可以透過學習幫助發現零時差威脅
長期以來,AI都被吹捧為即將襲來的技術創新大浪,將會永遠改變我們的生活和工作方式。但一直到過去幾年技術的進步才終於開始顯示出這項潛力。因此,我們看到 IBM 的 Watson 超級電腦在益智節目Jeopardy上擊敗了人類對手。最近,Google的 AlphaGo 先後擊敗了世界排名的圍棋棋手李世石、柯潔。卡內基梅隆大學的 Libratus計劃 甚至據報 要在德州撲克擊敗所有對手。
雖然 AI 不該被視為解決現代威脅的「萬能藥」,但它對網路安全還是有些重大的影響。AI和機器學習可以透過學習正常和不正常的行為來幫助發現零時差威脅,在察覺某些地方出問題時加以標記。這樣可以讓安全產品更有效地封鎖威脅,節省 IT 團隊所需的人力資源,專注在更加戰略性的工作。趨勢科技多年來一直都在使用機器學習,我們的高保真機器學習技術是我們 XGen 威脅防禦方法的重要組成部分。
趨勢科技投資超過 300名具備 AI 經驗的工程;贊助的「2017人工智慧論壇」 繼續閱讀