微软防毒软件结合机器学习技术,历时14分钟及8位受害者,成功挡下新型勒索软件
https://www.ithome.com.tw/news/119590
Windows Defender Antivirus用了许多不同算法来侦测恶意软件,有一些是二元分类器
,出来便是一翻两瞪眼0与1的结果,有一些则是多元分类器,给出机率性的结果。每一层
的机器学习都被训练来侦测不同的程式特征,有些需要负责数百个特征,有些则需要侦测
数十万个特征。
恶意软件日新月异,突变的速度越来越快,单纯靠资安专家以人力防范恶意攻击可能不足
,微软揭露了机器学习如何应用在自家防毒软件Windows Defender Antivirus上,以自动
化及多层机器学习架构,试图缩小新的恶意软件出现到被侦测的时间差。
Windows Defender Antivirus中的倒金字塔分层恶意软件侦测模型(上图),从上方第一
层的本机端启发式与通用型侦测到元资料机器学习模型、样本分析机器学习模型、引爆式
的机器学习模型,到最底层的大资料分析。
疑似恶意软件的档案会经过各层把关,多数的时候在第一层本机端启发式与通用型侦测阶
段就会被发现,当需要更复杂的分析便会往下层移动,越下层的分析便越精确,但是相对
的,所花的时间也会增加,从第一、二层的几毫秒到第三层的数秒,第四层数分钟甚至是
大资料分析的数小时。
微软表示,Windows Defender Antivirus用了许多不同算法来侦测恶意软件,有一些是
二元分类器,出来便是一翻两瞪眼0与1的结果,有一些则是多元分类器,做出机率性的结
果,像是恶意软件、干净档案、可能不需要的应用程式等分类。每一层的机器学习都被训
练来侦测不同的程式特征,有些需要负责数百个特征,有些则需要侦测数十万个特征。
在倒金字塔分层恶意软件侦测模型,最快动作的分类器便是侦测特定事件(Events)发生
时的静态属性(Static attributes),当第一层分析结果为未定论,Windows Defender
Antivirus便会把档案放到沙盒中执行,借由分析其运作时的行为,这个阶段微软称他为
引爆式分析,或式称为动态分析。
档案在沙盒中运作的时候,Windows Defender Antivirus会记录像是注册档变更、档案的
产生与删除甚至是程序注射等动态特征,并把这些特征供给其他机器学习模型使用,而其
他的机器学习模型便可以综合动态与静态特征,做出更加可信的预测。
微软举了一个14分钟防护勒索软件的例子。2017年10月14日早上11点47分,在俄国圣彼得
堡的一名Windows Defender Antivirus的使用者,从一个恶意网站下载了一个名为
FlashUtil.exe的档案,这看似是一个Flash的更新软件,实则是Tibbar勒索软件。
Windows Defender Antivirus本机端认为这是一个可疑的档案,便查询云端防护服务,发
现有几个元资料机器学习模型认为此档案有嫌疑,但是不到需要阻挡的层级。于是
Windows Defender Antivirus暂时锁住档案,并将完整档案上传处理,等待发落。
数秒钟后,经过多重深度类神经网络的样本分析机器学习模型回传结果,认为这个档案有
81.6%机会是恶意软件,但是Windows Defender Antivirus设定阻挡的阈值是90%,因此
档案仍可以继续执行。但与此同时,全世界已经有8位受害者电脑被勒索软件锁住,不过
也因为勒索软件在这些受害者的电脑上运作,让Windows Defender Antivirus有机会纪录
勒索软件的动态特征,当多重深度类神经网络再次分析这些特征时,对于预测此档案是恶
意软件的信心高达90.7%,云端防护便开始在发布封锁指令。
就在11点31分,Windows Defender Antivirus取得了这个新的勒索软件的第一滴血,第10
位使用者在乌克兰下载了同样的勒索软件,在云端防护系统使用了引爆式侦测恶意软件分
类法瞬间封锁了这个档案而成功保护了使用者的电脑。从发现恶意软件到防护中间历时14
分钟。
===================
结果因为这个档案是绝版的A片,所以使用者强制要求防毒软件放行,然后就被加密了(误)