惡意軟件日新月異,突變的速度越來(lái)越快,單純靠資安專(zhuān)家以人力防范惡意攻擊可能不足,微軟揭露了機器學(xué)習如何應用在自家防毒軟件Windows Defender Antivirus上,以自動(dòng)化及多層機器學(xué)習架構,試圖縮小新的惡意軟件出現到被偵測的時(shí)間差。
Windows Defender Antivirus使用倒金字塔分層惡意軟件偵測模型(上圖),像濾網(wǎng)一層層篩出隱藏的惡意軟件,偵測模型第一層為本機端啟發(fā)式與通用型偵測,接著(zhù)是元資料機器學(xué)習模型、樣本分析機器學(xué)習模型、引爆式的機器學(xué)習模型,然後到最底層的大資料分析。
疑似惡意軟件的檔案會(huì )經(jīng)過(guò)各層把關(guān),每一層所負責偵測檔案的特徵不同,但多數的惡意軟件,在第一層本機端啟發(fā)式與通用型偵測階段就會(huì )被發(fā)現,當經(jīng)過(guò)第一層偵測後,仍存在疑慮時(shí),便往下層移動(dòng)進(jìn)行更復雜的分析,越下層的分析便越精確,但是相對,所花的時(shí)間也會(huì )增加,耗費時(shí)間從第一、二層的幾毫秒到第三層的數秒,第四層數分鐘甚至是大資料分析的數小時(shí)。
微軟表示,Windows Defender Antivirus用了許多不同演算法來(lái)偵測惡意軟件,有一些是二元分類(lèi)器,結果便是非0即1,有一些則是多元分類(lèi)器,做出機率性的結果,像是分類(lèi)惡意軟件、乾凈檔案、可能不需要的應用程式等類(lèi)型。每一層的機器學(xué)習都被訓練來(lái)偵測不同的程式特徵,有些需要負責數百個(gè)特徵,有些則需要偵測數十萬(wàn)個(gè)特徵。
在倒金字塔分層惡意軟件偵測模型,最快動(dòng)作的分類(lèi)器便是本機端啟發(fā)式與通用型偵測,用來(lái)偵測特定事件(Events)發(fā)生時(shí)的靜態(tài)屬性(Static attributes),當第一層分析結果為未定論,Windows Defender Antivirus便會(huì )把檔案放到沙盒中執行,藉由分析其運作時(shí)的行為,這個(gè)階段微軟稱(chēng)他為引爆式分析,或是稱(chēng)為動(dòng)態(tài)分析。
(下圖)執行引爆式分析的時(shí)候,Windows Defender Antivirus會(huì )記錄像是注冊檔變更、檔案的產(chǎn)生與刪除甚至是程序注射等動(dòng)態(tài)特徵,并把這些特徵供給其他機器學(xué)習模型使用,而其他的機器學(xué)習模型便可以綜合動(dòng)態(tài)與靜態(tài)特徵,做出更加可信的預測。
微軟舉了一個(gè)14分鐘防護勒索軟件的例子。2017年10月14日早上11點(diǎn)47分,在俄國圣彼得堡的一名Windows Defender Antivirus的使用者,從一個(gè)惡意網(wǎng)站下載了一個(gè)名為FlashUtil.exe的檔案,這看似是一個(gè)Flash的更新軟件,實(shí)則是Tibbar勒索軟件。
Windows Defender Antivirus本機端認為這是一個(gè)可疑的檔案,便查詢(xún)云端防護服務(wù),發(fā)現有幾個(gè)元資料機器學(xué)習模型認為此檔案有嫌疑,但是不到需要阻擋的層級。於是Windows Defender Antivirus暫時(shí)鎖住檔案,并將完整檔案上傳處理,等待發(fā)落。
數秒鐘後,經(jīng)過(guò)多重深度類(lèi)神經(jīng)網(wǎng)路的樣本分析機器學(xué)習模型回傳結果,認為這個(gè)檔案有81.6%機會(huì )是惡意軟件,但是Windows Defender Antivirus設定阻擋的閾值是90%,因此檔案仍可以繼續執行。但與此同時(shí),全世界已經(jīng)有8位受害者電腦被勒索軟件控制,不過(guò)也因為勒索軟件在這些受害者的電腦上運作,讓W(xué)indows Defender Antivirus有機會(huì )進(jìn)行引爆式分析,紀錄勒索軟件的動(dòng)態(tài)特徵,當多重深度類(lèi)神經(jīng)網(wǎng)路再次分析這些動(dòng)態(tài)特徵時(shí),對於預測此檔案是惡意軟件的信心高達90.7%,云端防護便開(kāi)始在發(fā)布封鎖指令。
就在11點(diǎn)31分,Windows Defender Antivirus取得了這個(gè)新的勒索軟件的第一滴血。第10位使用者在烏克蘭下載了同樣的勒索軟件,Windows Defender Antivirus同樣上傳勒索軟件的特徵,不過(guò)這次在查詢(xún)云端防護系統後發(fā)現此為惡意軟件,便封鎖了這個(gè)檔案而成功保護了使用者的電腦。從發(fā)現惡意軟件到防護中間歷時(shí)14分鐘。
