【51CTO.com快译】Deep Instinct公司发布一款新型解决方案,声称能够实现高达98.8%的实时APT检测准确性。
根据AV-TEST协会发布的调查结果,目前每天出现的新型恶意软件数量高达39万,而赛门铁克公司给出的结果更为惊人——每天恶意软件新增数量达100万种。而这些恶意软件往往尚未出现在实际恶意活动当中。
即使我们只按最低水平计算,当前的安全形势依然相当严峻。特别是考虑到高级持续性威胁(简称APT)层面,其属于病毒与恶意软件的最先进变体,且能够使得当前大多数主流网络安全技术毫无用武之地。甚至安全专家们也强调称,企业需要将传统的攻击活动“是否成功”问题调整为“何时成功”。
过去几年以来,我们已经见证了多种不同类型的恶意软件检测技术。最初检测工作依靠签名机制实现,即将未知代码片段与已知恶意软件进行比照。然而随着恶意软件的日均增长数量已经达到数十万乃至上百万之巨,这种被动作法显然已经不再适用。
下一步进化方向则在于启发式检测,其基于代码行为特征实现恶意软件识别。这意味着代码在执行过程一旦涉及任何可疑行为,则其即会被记录在案。以此为基础,沙箱技术的介入也就顺理成章,我们需要利用这种虚拟环境运行未知代码,并以隔离化方式观察其是否存在恶意嫌疑。
最近我们已看到机器学习机制开始进入恶意软件检测领域。这种技术采用复杂的算法对文件进行处理,并根据手动提取自文件中的一系列要素对其进行恶意或者良性分类。机器需要以人的视角出发决定哪些参数、变量乃至功能可能存在安全隐患。通常情况下,机器学习类网络安全解决方案主要负责可疑状况的初步筛选,而最终处理方式则由人类分析师接手。
现在变革的下一步已然到来——Deep Instinct公司宣称其已经构建起市场上第一款基于深层学习技术的网络安全解决方案。深层学习是一种先进的人工智能实现方式,其利用一套与人脑学习相类似的流程进行事物认知。深层学习将给网络安全事务带来深远影响,特别是在检测零日恶意软件、新型恶意软件以及高复杂性APT的工作当中。
一旦机器意识到恶意代码的表现特征,其就能够确定未知代码是否属于恶意软件,且拥有出色的准确性与实时处理能力。那么机器是如何学会识别恶意软件的?其学习过程与人类非常相似。假设我们带孩子去公园散步,并告诉他狗应该是什么样子。在游玩过程中,我们会不断向他指明狗的不同种类,并通过这种训练帮助他学习这一概念。我们不需要解释狗的具体定义,而是反复为其提供不同的实例。经过一段时间,孩子就能够在见到某只从未见过的动物时,正确将其判断为“狗”。而如果我们向其出示狗的照片,他也能够顺利发现其中表现的是哪种动物。更进一步,即使我们删除其中20%的像素,他也仍能一眼认出照片中的狗。
Deep Instinct公司正是利用这种办法帮助其核心引擎学会识别恶意代码。该公司汇集了数以亿计的恶意软件品种,包括Word文件、PDF文件以及可执行文件等等,但其中具体的文件类型并不重要——因为深层学习面向未知数据类型。Deep Instinct的科学家们运行这些文件,并通过测试将其归类为恶意或者合法类别。在此之后,他们利用这套庞大的数据集进行引擎训练,而这套人造大脑最终能够建立起所谓预测模型。到这一阶段,该核心引擎将拥有与孩子类似的认知方式——尽管其从未见过某种恶意软件,但仍能够通过已有线索推断其是否可能造成危害。
Deep Instinct公司将其预测模型打包为一套小型探针。该探针可被部署至运行任意操作系统的任何类型设备当中——PC、笔记本、平板电脑、智能手机乃至服务器皆可。当设备上的某个文件被打开或者下载完成时,该探针就会将对应文件拆分成多个小片段,并针对其运行预测模型。这种所谓“本能”机制会利用培训成果检测其中是否包含恶意成分。这一切都能够在五毫秒之内完成。设备上的整个处理流程完成实时,并做出决策对恶意软件进行删除、屏蔽或者企业需要执行的对应操作——这时恶意代码还来不及造成任何破坏。更重要的是,其丝毫不会影响到用户体验。
由于该探针已经具备各项必要条件以实现未知文件分析,因此无需使用企业网络甚至是互联网连接。具体来讲,其能够以在线以及离线方式实现设备保护。举例来说,工作人员可以坐在飞机上以飞行模式实现安全保护。如果他插入一块受到感染的U盘,设备上的探针会对U盘内的文件进行分析,同时找到可能对设备造成进一步感染的恶意软件。
Deep Instinct公司还推出其解决方案的无探针版本,其单纯利用预测模型外加保护功能,但无需涉及设备自身。该公司同时表示,其能够通过API或者SDK接入任何类型的网关。举例来说,Deep Instinct的这套模型能够同FireLayer的云访问安全中介进行集成,段实现恶意软件检测并预防指向云文件及应用的威胁因素。
Deep Instinct公司仍在不断训练基引擎,从而确保其能够识别出更多新型恶意软件。尽管其“本能”机制一直在不断更新,设备之上数月未更新的探针仍然能够提供非常出色的判断准确率。Deep Instinct公司指出,四个月未进行更新只会令其探针的恶意软件检测准确率下降0.5%至1%。
由德雷宾大学与西门子CERT进行的基准测试结果显示,Deep Instinct公司的方案能够匹敌市场上的任何顶级安全解决方案。在尝试识别移动恶意软件方面,目前市场上的前十大安全厂商的平均准确率为61.5%,而Deep Instinct的准确率则高达99.86%。在另一项针对16000种APT进行的测试当中,Deep Instinct的恶意软件识别率亦高达98.8%。
其具体实现流程包括在设备上安装探针、在网络中安装对应设备对实现策略管理、提供仪表板外加报告机制。该公司表示,其将利用现有数据集文件为潜在客户提供概念验证方案,这意味着各企业客户完全能够将该产品直接同现有网络安全工具进行比对。
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】