網路犯罪集團躲避網路防護產品的能力和效率都越來越高。每一天,我們都會看到一些有關企業網路遭駭客入侵、資料遭到竊取、令專家傷透腦筋的報導。因此,如果沒有一套更有效率的偵測系統或方法,這樣的情況還會繼續下去。今日的駭客經常使用變形、加密、編碼以及其他技巧來自動製造大量變種,試圖躲避像規則式偵測技巧這類傳統入侵偵測方法。
為了解決日益成長的網路威脅,以及因應日益複雜的網路入侵技巧,趨勢科技特別鑽研了網路流量分群 (network flow clustering) 技巧,這是一種運用機器學習(Machine learning,ML)來提升現有入侵偵測技巧的方法。
我們之所以可藉由檢查網路流量資料來偵測網路上的異常狀況,是因為網路流量當中包含了許多有用的資訊可讓我們分析各種應用程式與服務的網路流量組成。為了利用分群技巧來有效率地大量標記和處理這類資料,我們採用了一種半監督式機器學習方法。接著,再利用這些標記來分辨不同惡意程式家族之間的關係和差異。