廠商稱機器學習誤判率高!以神經網絡檢測惡意軟件是解決方法?
廠商稱機器學習誤判率高!以神經網絡檢測惡意軟件是解決方法?
機器學習是 weak AI 的一部份,其中 Siri 便是例子。之所以稱之為弱 AI,其中的原因是這些工具的 AI 是活在一個由人類設計的框架之下,而下一步將會愈來愈普及的必定是由神經網絡推動的真正 AI,這些 Strong AI 強 AI 能做到真正自我思考,就像人類一樣,並不需要再活在人類所定下的框架之中。
因此當一套方案植入了強 AI,這意味著它將是無所不能!不過現今真正做到強 AI 的產品暫時仍未得見,而市面上稱為強 AI 的方案,很多時都是傳統的弱 AI 而已。
近日 Sophos 在推出的 Intercept X 下一代端點安全方案之中,便強調是使用了由深度學習 (Deep Learning) 神經網絡賦予的惡意軟件檢測能力,令方案真正 AI,結合上主動黑客攻擊緩減、進階應用程式鎖定,以及勒索軟件防護,實現人工智能檢測和預防。
究竟當中的 AI 是屬於那種呢?無人得知!不過向深度學習方向發展亦證明了這家廠商擁有前瞻性。深度學習是機器學習的最新演進,利用可大規模擴展的檢測模型洞悉所有觀察得到的威脅形勢。與傳統的機器學習相比,深度學習可以處理數以億計樣本,使其得以更快的速度、更低的誤報率作出更準確的預測。
Sophos Intercept X 新版本除了進一步向真 AI 出發外,亦配備了多項新技術,包括防勒索軟件和漏洞利用防護,以及憑證盜竊防護等主動黑客攻擊緩減功能。目前黑客因應防惡意軟件技術的改進,改為傾向盜用存取憑證,以求合法用戶身份在系統和網絡中四竄行動,而 Intercept X 便針對有關方面提供防禦能力。
該方案可透過雲端管理平台 Sophos Central 部署,與任何廠商現有的端點安全軟件一同安裝,即時加強端點保護。當與 Sophos XG 防火牆一併使用時,Intercept X 更會引入同步安全功能,進一步提升防護能力。
Intercept X 的新功能包括:
深度學習惡意軟件偵測
-深度學習模型可在已知和未知的惡意軟件以及「潛在不需要應用程式」(PUA) 執行前就對其進行偵測,無需比對特徵碼。
-該模型大小不到 20MB,亦毋須經常更新。
主動緩和對手攻擊
-憑證盜竊防護:防止有人竊取記憶體、登錄檔和永久儲存系統中的授權密碼和雜湊資訊,以免這些資料被 Mimikatz 這類攻擊利用。
-代碼漏洞利用:檢測出植入於其他應用程式中的代碼,制止這種通常用於存留和反病毒措施的手法。
-APC 保護:檢測異步程序呼叫 (Asynchronous Procedure Call,簡稱 APC) 的濫用。APC 通常用於 AtomBombing 代碼注入手法,而最近更被用於透過 EternalBlue 漏洞和 DoublePulsar 工具傳播 WannaCry 蠕蟲與 NotPetya 清除軟件 (攻擊者濫用這些呼叫來騙使其他進程執行惡意代碼) 。
更強的漏洞利用防禦技術
-惡意進程調用:偵測攻擊者用來調動於系統上運行進程之遙距反射 DLL 注入法。
-進程權限提升:防止低權限進程被蓄意升級這種擴大系統存取權的伎倆。
增強應用程式鎖定
-瀏覽器行為鎖定:Intercept X 會阻止有人惡意使用瀏覽器的 PowerShell,以作為基本的行為鎖定措施。
-HTA 應用程式鎖定:由瀏覽器加載的 HTML 應用程式將如瀏覽器一樣被施以鎖定防護。