廠商稱機器學習誤判率高！以神經網絡檢測惡意軟件是解決方法？

科技

2018-02-28 |

2125

機器學習是 weak AI 的一部份，其中 Siri 便是例子。之所以稱之為弱 AI，其中的原因是這些工具的 AI 是活在一個由人類設計的框架之下，而下一步將會愈來愈普及的必定是由神經網絡推動的真正 AI，這些 Strong AI 強 AI 能做到真正自我思考，就像人類一樣，並不需要再活在人類所定下的框架之中。

因此當一套方案植入了強 AI，這意味著它將是無所不能！不過現今真正做到強 AI 的產品暫時仍未得見，而市面上稱為強 AI 的方案，很多時都是傳統的弱 AI 而已。

近日 Sophos 在推出的 Intercept X 下一代端點安全方案之中，便強調是使用了由深度學習 (Deep Learning) 神經網絡賦予的惡意軟件檢測能力，令方案真正 AI，結合上主動黑客攻擊緩減、進階應用程式鎖定，以及勒索軟件防護，實現人工智能檢測和預防。

究竟當中的 AI 是屬於那種呢？無人得知！不過向深度學習方向發展亦證明了這家廠商擁有前瞻性。深度學習是機器學習的最新演進，利用可大規模擴展的檢測模型洞悉所有觀察得到的威脅形勢。與傳統的機器學習相比，深度學習可以處理數以億計樣本，使其得以更快的速度、更低的誤報率作出更準確的預測。

Sophos Intercept X 新版本除了進一步向真 AI 出發外，亦配備了多項新技術，包括防勒索軟件和漏洞利用防護，以及憑證盜竊防護等主動黑客攻擊緩減功能。目前黑客因應防惡意軟件技術的改進，改為傾向盜用存取憑證，以求合法用戶身份在系統和網絡中四竄行動，而 Intercept X 便針對有關方面提供防禦能力。

該方案可透過雲端管理平台 Sophos Central 部署，與任何廠商現有的端點安全軟件一同安裝，即時加強端點保護。當與 Sophos XG 防火牆一併使用時，Intercept X 更會引入同步安全功能，進一步提升防護能力。

Intercept X 的新功能包括：

深度學習惡意軟件偵測

－深度學習模型可在已知和未知的惡意軟件以及「潛在不需要應用程式」(PUA) 執行前就對其進行偵測，無需比對特徵碼。

－該模型大小不到 20MB，亦毋須經常更新。

主動緩和對手攻擊

－憑證盜竊防護：防止有人竊取記憶體、登錄檔和永久儲存系統中的授權密碼和雜湊資訊，以免這些資料被 Mimikatz 這類攻擊利用。

－代碼漏洞利用：檢測出植入於其他應用程式中的代碼，制止這種通常用於存留和反病毒措施的手法。

－APC 保護：檢測異步程序呼叫 (Asynchronous Procedure Call，簡稱 APC) 的濫用。APC 通常用於 AtomBombing 代碼注入手法，而最近更被用於透過 EternalBlue 漏洞和 DoublePulsar 工具傳播 WannaCry 蠕蟲與 NotPetya 清除軟件 (攻擊者濫用這些呼叫來騙使其他進程執行惡意代碼) 。

更強的漏洞利用防禦技術

－惡意進程調用：偵測攻擊者用來調動於系統上運行進程之遙距反射 DLL 注入法。