作者purplvampire (阿修雷)
看板AntiVirus
标题[新闻] 微软防毒软体结合机器学习技术挡下新型勒
时间Thu Dec 14 21:25:14 2017
微软防毒软体结合机器学习技术,历时14分钟及8位受害者,成功挡下新型勒索软体
https://www.ithome.com.tw/news/119590
Windows Defender Antivirus用了许多不同演算法来侦测恶意软体,有一些是二元分类器
,出来便是一翻两瞪眼0与1的结果,有一些则是多元分类器,给出机率性的结果。每一层
的机器学习都被训练来侦测不同的程式特徵,有些需要负责数百个特徵,有些则需要侦测
数十万个特徵。
恶意软体日新月异,突变的速度越来越快,单纯靠资安专家以人力防范恶意攻击可能不足
,微软揭露了机器学习如何应用在自家防毒软体Windows Defender Antivirus上,以自动
化及多层机器学习架构,试图缩小新的恶意软体出现到被侦测的时间差。
Windows Defender Antivirus中的倒金字塔分层恶意软体侦测模型(上图),从上方第一
层的本机端启发式与通用型侦测到元资料机器学习模型、样本分析机器学习模型、引爆式
的机器学习模型,到最底层的大资料分析。
疑似恶意软体的档案会经过各层把关,多数的时候在第一层本机端启发式与通用型侦测阶
段就会被发现,当需要更复杂的分析便会往下层移动,越下层的分析便越精确,但是相对
的,所花的时间也会增加,从第一、二层的几毫秒到第三层的数秒,第四层数分钟甚至是
大资料分析的数小时。
微软表示,Windows Defender Antivirus用了许多不同演算法来侦测恶意软体,有一些是
二元分类器,出来便是一翻两瞪眼0与1的结果,有一些则是多元分类器,做出机率性的结
果,像是恶意软体、乾净档案、可能不需要的应用程式等分类。每一层的机器学习都被训
练来侦测不同的程式特徵,有些需要负责数百个特徵,有些则需要侦测数十万个特徵。
在倒金字塔分层恶意软体侦测模型,最快动作的分类器便是侦测特定事件(Events)发生
时的静态属性(Static attributes),当第一层分析结果为未定论,Windows Defender
Antivirus便会把档案放到沙盒中执行,藉由分析其运作时的行为,这个阶段微软称他为
引爆式分析,或式称为动态分析。
档案在沙盒中运作的时候,Windows Defender Antivirus会记录像是注册档变更、档案的
产生与删除甚至是程序注射等动态特徵,并把这些特徵供给其他机器学习模型使用,而其
他的机器学习模型便可以综合动态与静态特徵,做出更加可信的预测。
微软举了一个14分钟防护勒索软体的例子。2017年10月14日早上11点47分,在俄国圣彼得
堡的一名Windows Defender Antivirus的使用者,从一个恶意网站下载了一个名为
FlashUtil.exe的档案,这看似是一个Flash的更新软体,实则是Tibbar勒索软体。
Windows Defender Antivirus本机端认为这是一个可疑的档案,便查询云端防护服务,发
现有几个元资料机器学习模型认为此档案有嫌疑,但是不到需要阻挡的层级。於是
Windows Defender Antivirus暂时锁住档案,并将完整档案上传处理,等待发落。
数秒钟後,经过多重深度类神经网路的样本分析机器学习模型回传结果,认为这个档案有
81.6%机会是恶意软体,但是Windows Defender Antivirus设定阻挡的阈值是90%,因此
档案仍可以继续执行。但与此同时,全世界已经有8位受害者电脑被勒索软体锁住,不过
也因为勒索软体在这些受害者的电脑上运作,让Windows Defender Antivirus有机会纪录
勒索软体的动态特徵,当多重深度类神经网路再次分析这些特徵时,对於预测此档案是恶
意软体的信心高达90.7%,云端防护便开始在发布封锁指令。
就在11点31分,Windows Defender Antivirus取得了这个新的勒索软体的第一滴血,第10
位使用者在乌克兰下载了同样的勒索软体,在云端防护系统使用了引爆式侦测恶意软体分
类法瞬间封锁了这个档案而成功保护了使用者的电脑。从发现恶意软体到防护中间历时14
分钟。
===================
结果因为这个档案是绝版的A片,所以使用者强制要求防毒软体放行,然後就被加密了(误)
--
1F:推 obov: 雷姆教 雷姆教 雷姆帮你蕊懒叫08/22 00:40
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.200.207.246
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1513257924.A.09B.html
2F:→ munsimli: 感谢8位烈士的壮烈牺牲解救了之後的使用者 12/14 23:23
3F:→ brianuser: 其实1709後WD多了资料夹保护,但预设没开 12/15 01:59
4F:推 fatstan: 最後一句正确XDD 12/15 09:40
5F:推 DINJIAPC: 微软应该要设计强制设计资料夹保护的互动设定介面 并且 12/20 07:25
6F:→ DINJIAPC: 将资料夹的操作规则纳入云端库的规则中.只要企图未授权 12/20 07:25
7F:→ DINJIAPC: 的写入行为。蒐集应用程式规则自然就能大杀此类所有模 12/20 07:25
8F:→ DINJIAPC: 式的恶意软体且降低牺牲时数 12/20 07:25
9F:推 skycat2216: D大,那将其伪装成授权操作呢? 12/20 17:45
10F:→ DINJIAPC: 伪装授权 是我会想尽办法把目标的conodo移除 12/20 22:09
11F:→ DINJIAPC: 再来 ,请问你要如何伪装?你是说让word,exelx自己去上 12/20 22:15
12F:→ DINJIAPC: 那种开启内文要打的密码吗? 12/20 22:15