惡意軟件日新月異,突變的速度越來越快,單純靠資安專家以人力防范惡意攻擊可能不足,微軟揭露了機(jī)器學(xué)習(xí)如何應(yīng)用在自家防毒軟件Windows Defender Antivirus上,以自動(dòng)化及多層機(jī)器學(xué)習(xí)架構(gòu),試圖縮小新的惡意軟件出現(xiàn)到被偵測的時(shí)間差。
Windows Defender Antivirus使用倒金字塔分層惡意軟件偵測模型(上圖),像濾網(wǎng)一層層篩出隱藏的惡意軟件,偵測模型第一層為本機(jī)端啟發(fā)式與通用型偵測,接著是元資料機(jī)器學(xué)習(xí)模型、樣本分析機(jī)器學(xué)習(xí)模型、引爆式的機(jī)器學(xué)習(xí)模型,然後到最底層的大資料分析。
疑似惡意軟件的檔案會(huì)經(jīng)過各層把關(guān),每一層所負(fù)責(zé)偵測檔案的特徵不同,但多數(shù)的惡意軟件,在第一層本機(jī)端啟發(fā)式與通用型偵測階段就會(huì)被發(fā)現(xiàn),當(dāng)經(jīng)過第一層偵測後,仍存在疑慮時(shí),便往下層移動(dòng)進(jìn)行更復(fù)雜的分析,越下層的分析便越精確,但是相對(duì),所花的時(shí)間也會(huì)增加,耗費(fèi)時(shí)間從第一、二層的幾毫秒到第三層的數(shù)秒,第四層數(shù)分鐘甚至是大資料分析的數(shù)小時(shí)。
微軟表示,Windows Defender Antivirus用了許多不同演算法來偵測惡意軟件,有一些是二元分類器,結(jié)果便是非0即1,有一些則是多元分類器,做出機(jī)率性的結(jié)果,像是分類惡意軟件、乾凈檔案、可能不需要的應(yīng)用程式等類型。每一層的機(jī)器學(xué)習(xí)都被訓(xùn)練來偵測不同的程式特徵,有些需要負(fù)責(zé)數(shù)百個(gè)特徵,有些則需要偵測數(shù)十萬個(gè)特徵。
在倒金字塔分層惡意軟件偵測模型,最快動(dòng)作的分類器便是本機(jī)端啟發(fā)式與通用型偵測,用來偵測特定事件(Events)發(fā)生時(shí)的靜態(tài)屬性(Static attributes),當(dāng)?shù)谝粚臃治鼋Y(jié)果為未定論,Windows Defender Antivirus便會(huì)把檔案放到沙盒中執(zhí)行,藉由分析其運(yùn)作時(shí)的行為,這個(gè)階段微軟稱他為引爆式分析,或是稱為動(dòng)態(tài)分析。
(下圖)執(zhí)行引爆式分析的時(shí)候,Windows Defender Antivirus會(huì)記錄像是注冊檔變更、檔案的產(chǎn)生與刪除甚至是程序注射等動(dòng)態(tài)特徵,并把這些特徵供給其他機(jī)器學(xué)習(xí)模型使用,而其他的機(jī)器學(xué)習(xí)模型便可以綜合動(dòng)態(tài)與靜態(tài)特徵,做出更加可信的預(yù)測。
微軟舉了一個(gè)14分鐘防護(hù)勒索軟件的例子。2017年10月14日早上11點(diǎn)47分,在俄國圣彼得堡的一名Windows Defender Antivirus的使用者,從一個(gè)惡意網(wǎng)站下載了一個(gè)名為FlashUtil.exe的檔案,這看似是一個(gè)Flash的更新軟件,實(shí)則是Tibbar勒索軟件。
Windows Defender Antivirus本機(jī)端認(rèn)為這是一個(gè)可疑的檔案,便查詢云端防護(hù)服務(wù),發(fā)現(xiàn)有幾個(gè)元資料機(jī)器學(xué)習(xí)模型認(rèn)為此檔案有嫌疑,但是不到需要阻擋的層級(jí)。於是Windows Defender Antivirus暫時(shí)鎖住檔案,并將完整檔案上傳處理,等待發(fā)落。
數(shù)秒鐘後,經(jīng)過多重深度類神經(jīng)網(wǎng)路的樣本分析機(jī)器學(xué)習(xí)模型回傳結(jié)果,認(rèn)為這個(gè)檔案有81.6%機(jī)會(huì)是惡意軟件,但是Windows Defender Antivirus設(shè)定阻擋的閾值是90%,因此檔案仍可以繼續(xù)執(zhí)行。但與此同時(shí),全世界已經(jīng)有8位受害者電腦被勒索軟件控制,不過也因?yàn)槔账鬈浖谶@些受害者的電腦上運(yùn)作,讓W(xué)indows Defender Antivirus有機(jī)會(huì)進(jìn)行引爆式分析,紀(jì)錄勒索軟件的動(dòng)態(tài)特徵,當(dāng)多重深度類神經(jīng)網(wǎng)路再次分析這些動(dòng)態(tài)特徵時(shí),對(duì)於預(yù)測此檔案是惡意軟件的信心高達(dá)90.7%,云端防護(hù)便開始在發(fā)布封鎖指令。
就在11點(diǎn)31分,Windows Defender Antivirus取得了這個(gè)新的勒索軟件的第一滴血。第10位使用者在烏克蘭下載了同樣的勒索軟件,Windows Defender Antivirus同樣上傳勒索軟件的特徵,不過這次在查詢云端防護(hù)系統(tǒng)後發(fā)現(xiàn)此為惡意軟件,便封鎖了這個(gè)檔案而成功保護(hù)了使用者的電腦。從發(fā)現(xiàn)惡意軟件到防護(hù)中間歷時(shí)14分鐘。
