AntiVirus 板


LINE

微软防毒软体结合机器学习技术,历时14分钟及8位受害者,成功挡下新型勒索软体 https://www.ithome.com.tw/news/119590 Windows Defender Antivirus用了许多不同演算法来侦测恶意软体,有一些是二元分类器 ,出来便是一翻两瞪眼0与1的结果,有一些则是多元分类器,给出机率性的结果。每一层 的机器学习都被训练来侦测不同的程式特徵,有些需要负责数百个特徵,有些则需要侦测 数十万个特徵。 恶意软体日新月异,突变的速度越来越快,单纯靠资安专家以人力防范恶意攻击可能不足 ,微软揭露了机器学习如何应用在自家防毒软体Windows Defender Antivirus上,以自动 化及多层机器学习架构,试图缩小新的恶意软体出现到被侦测的时间差。 Windows Defender Antivirus中的倒金字塔分层恶意软体侦测模型(上图),从上方第一 层的本机端启发式与通用型侦测到元资料机器学习模型、样本分析机器学习模型、引爆式 的机器学习模型,到最底层的大资料分析。 疑似恶意软体的档案会经过各层把关,多数的时候在第一层本机端启发式与通用型侦测阶 段就会被发现,当需要更复杂的分析便会往下层移动,越下层的分析便越精确,但是相对 的,所花的时间也会增加,从第一、二层的几毫秒到第三层的数秒,第四层数分钟甚至是 大资料分析的数小时。 微软表示,Windows Defender Antivirus用了许多不同演算法来侦测恶意软体,有一些是 二元分类器,出来便是一翻两瞪眼0与1的结果,有一些则是多元分类器,做出机率性的结 果,像是恶意软体、乾净档案、可能不需要的应用程式等分类。每一层的机器学习都被训 练来侦测不同的程式特徵,有些需要负责数百个特徵,有些则需要侦测数十万个特徵。 在倒金字塔分层恶意软体侦测模型,最快动作的分类器便是侦测特定事件(Events)发生 时的静态属性(Static attributes),当第一层分析结果为未定论,Windows Defender Antivirus便会把档案放到沙盒中执行,藉由分析其运作时的行为,这个阶段微软称他为 引爆式分析,或式称为动态分析。 档案在沙盒中运作的时候,Windows Defender Antivirus会记录像是注册档变更、档案的 产生与删除甚至是程序注射等动态特徵,并把这些特徵供给其他机器学习模型使用,而其 他的机器学习模型便可以综合动态与静态特徵,做出更加可信的预测。 微软举了一个14分钟防护勒索软体的例子。2017年10月14日早上11点47分,在俄国圣彼得 堡的一名Windows Defender Antivirus的使用者,从一个恶意网站下载了一个名为 FlashUtil.exe的档案,这看似是一个Flash的更新软体,实则是Tibbar勒索软体。 Windows Defender Antivirus本机端认为这是一个可疑的档案,便查询云端防护服务,发 现有几个元资料机器学习模型认为此档案有嫌疑,但是不到需要阻挡的层级。於是 Windows Defender Antivirus暂时锁住档案,并将完整档案上传处理,等待发落。 数秒钟後,经过多重深度类神经网路的样本分析机器学习模型回传结果,认为这个档案有 81.6%机会是恶意软体,但是Windows Defender Antivirus设定阻挡的阈值是90%,因此 档案仍可以继续执行。但与此同时,全世界已经有8位受害者电脑被勒索软体锁住,不过 也因为勒索软体在这些受害者的电脑上运作,让Windows Defender Antivirus有机会纪录 勒索软体的动态特徵,当多重深度类神经网路再次分析这些特徵时,对於预测此档案是恶 意软体的信心高达90.7%,云端防护便开始在发布封锁指令。 就在11点31分,Windows Defender Antivirus取得了这个新的勒索软体的第一滴血,第10 位使用者在乌克兰下载了同样的勒索软体,在云端防护系统使用了引爆式侦测恶意软体分 类法瞬间封锁了这个档案而成功保护了使用者的电脑。从发现恶意软体到防护中间历时14 分钟。 =================== 结果因为这个档案是绝版的A片,所以使用者强制要求防毒软体放行,然後就被加密了(误) --
1F:推 obov: 雷姆教 雷姆教 雷姆帮你蕊懒叫08/22 00:40
--
QR Code



※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.200.207.246
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1513257924.A.09B.html
2F:→ munsimli: 感谢8位烈士的壮烈牺牲解救了之後的使用者 12/14 23:23
3F:→ brianuser: 其实1709後WD多了资料夹保护,但预设没开 12/15 01:59
4F:推 fatstan: 最後一句正确XDD 12/15 09:40
5F:推 DINJIAPC: 微软应该要设计强制设计资料夹保护的互动设定介面 并且 12/20 07:25
6F:→ DINJIAPC: 将资料夹的操作规则纳入云端库的规则中.只要企图未授权 12/20 07:25
7F:→ DINJIAPC: 的写入行为。蒐集应用程式规则自然就能大杀此类所有模 12/20 07:25
8F:→ DINJIAPC: 式的恶意软体且降低牺牲时数 12/20 07:25
9F:推 skycat2216: D大,那将其伪装成授权操作呢? 12/20 17:45
10F:→ DINJIAPC: 伪装授权 是我会想尽办法把目标的conodo移除 12/20 22:09
11F:→ DINJIAPC: 再来 ,请问你要如何伪装?你是说让word,exelx自己去上 12/20 22:15
12F:→ DINJIAPC: 那种开启内文要打的密码吗? 12/20 22:15







like.gif 您可能会有兴趣的文章
icon.png[问题/行为] 猫晚上进房间会不会有憋尿问题
icon.pngRe: [闲聊] 选了错误的女孩成为魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一张
icon.png[心得] EMS高领长版毛衣.墨小楼MC1002
icon.png[分享] 丹龙隔热纸GE55+33+22
icon.png[问题] 清洗洗衣机
icon.png[寻物] 窗台下的空间
icon.png[闲聊] 双极の女神1 木魔爵
icon.png[售车] 新竹 1997 march 1297cc 白色 四门
icon.png[讨论] 能从照片感受到摄影者心情吗
icon.png[狂贺] 贺贺贺贺 贺!岛村卯月!总选举NO.1
icon.png[难过] 羡慕白皮肤的女生
icon.png阅读文章
icon.png[黑特]
icon.png[问题] SBK S1安装於安全帽位置
icon.png[分享] 旧woo100绝版开箱!!
icon.pngRe: [无言] 关於小包卫生纸
icon.png[开箱] E5-2683V3 RX480Strix 快睿C1 简单测试
icon.png[心得] 苍の海贼龙 地狱 执行者16PT
icon.png[售车] 1999年Virage iO 1.8EXi
icon.png[心得] 挑战33 LV10 狮子座pt solo
icon.png[闲聊] 手把手教你不被桶之新手主购教学
icon.png[分享] Civic Type R 量产版官方照无预警流出
icon.png[售车] Golf 4 2.0 银色 自排
icon.png[出售] Graco提篮汽座(有底座)2000元诚可议
icon.png[问题] 请问补牙材质掉了还能再补吗?(台中半年内
icon.png[问题] 44th 单曲 生写竟然都给重复的啊啊!
icon.png[心得] 华南红卡/icash 核卡
icon.png[问题] 拔牙矫正这样正常吗
icon.png[赠送] 老莫高业 初业 102年版
icon.png[情报] 三大行动支付 本季掀战火
icon.png[宝宝] 博客来Amos水蜡笔5/1特价五折
icon.pngRe: [心得] 新鲜人一些面试分享
icon.png[心得] 苍の海贼龙 地狱 麒麟25PT
icon.pngRe: [闲聊] (君の名は。雷慎入) 君名二创漫画翻译
icon.pngRe: [闲聊] OGN中场影片:失踪人口局 (英文字幕)
icon.png[问题] 台湾大哥大4G讯号差
icon.png[出售] [全国]全新千寻侘草LED灯, 水草

请输入看板名称,例如:Boy-Girl站内搜寻

TOP