看板 AntiVirus 關於我們 聯絡資訊
微軟防毒軟體結合機器學習技術,歷時14分鐘及8位受害者,成功擋下新型勒索軟體 https://www.ithome.com.tw/news/119590 Windows Defender Antivirus用了許多不同演算法來偵測惡意軟體,有一些是二元分類器 ,出來便是一翻兩瞪眼0與1的結果,有一些則是多元分類器,給出機率性的結果。每一層 的機器學習都被訓練來偵測不同的程式特徵,有些需要負責數百個特徵,有些則需要偵測 數十萬個特徵。 惡意軟體日新月異,突變的速度越來越快,單純靠資安專家以人力防範惡意攻擊可能不足 ,微軟揭露了機器學習如何應用在自家防毒軟體Windows Defender Antivirus上,以自動 化及多層機器學習架構,試圖縮小新的惡意軟體出現到被偵測的時間差。 Windows Defender Antivirus中的倒金字塔分層惡意軟體偵測模型(上圖),從上方第一 層的本機端啟發式與通用型偵測到元資料機器學習模型、樣本分析機器學習模型、引爆式 的機器學習模型,到最底層的大資料分析。 疑似惡意軟體的檔案會經過各層把關,多數的時候在第一層本機端啟發式與通用型偵測階 段就會被發現,當需要更複雜的分析便會往下層移動,越下層的分析便越精確,但是相對 的,所花的時間也會增加,從第一、二層的幾毫秒到第三層的數秒,第四層數分鐘甚至是 大資料分析的數小時。 微軟表示,Windows Defender Antivirus用了許多不同演算法來偵測惡意軟體,有一些是 二元分類器,出來便是一翻兩瞪眼0與1的結果,有一些則是多元分類器,做出機率性的結 果,像是惡意軟體、乾淨檔案、可能不需要的應用程式等分類。每一層的機器學習都被訓 練來偵測不同的程式特徵,有些需要負責數百個特徵,有些則需要偵測數十萬個特徵。 在倒金字塔分層惡意軟體偵測模型,最快動作的分類器便是偵測特定事件(Events)發生 時的靜態屬性(Static attributes),當第一層分析結果為未定論,Windows Defender Antivirus便會把檔案放到沙盒中執行,藉由分析其運作時的行為,這個階段微軟稱他為 引爆式分析,或式稱為動態分析。 檔案在沙盒中運作的時候,Windows Defender Antivirus會記錄像是註冊檔變更、檔案的 產生與刪除甚至是程序注射等動態特徵,並把這些特徵供給其他機器學習模型使用,而其 他的機器學習模型便可以綜合動態與靜態特徵,做出更加可信的預測。 微軟舉了一個14分鐘防護勒索軟體的例子。2017年10月14日早上11點47分,在俄國聖彼得 堡的一名Windows Defender Antivirus的使用者,從一個惡意網站下載了一個名為 FlashUtil.exe的檔案,這看似是一個Flash的更新軟體,實則是Tibbar勒索軟體。 Windows Defender Antivirus本機端認為這是一個可疑的檔案,便查詢雲端防護服務,發 現有幾個元資料機器學習模型認為此檔案有嫌疑,但是不到需要阻擋的層級。於是 Windows Defender Antivirus暫時鎖住檔案,並將完整檔案上傳處理,等待發落。 數秒鐘後,經過多重深度類神經網路的樣本分析機器學習模型回傳結果,認為這個檔案有 81.6%機會是惡意軟體,但是Windows Defender Antivirus設定阻擋的閾值是90%,因此 檔案仍可以繼續執行。但與此同時,全世界已經有8位受害者電腦被勒索軟體鎖住,不過 也因為勒索軟體在這些受害者的電腦上運作,讓Windows Defender Antivirus有機會紀錄 勒索軟體的動態特徵,當多重深度類神經網路再次分析這些特徵時,對於預測此檔案是惡 意軟體的信心高達90.7%,雲端防護便開始在發布封鎖指令。 就在11點31分,Windows Defender Antivirus取得了這個新的勒索軟體的第一滴血,第10 位使用者在烏克蘭下載了同樣的勒索軟體,在雲端防護系統使用了引爆式偵測惡意軟體分 類法瞬間封鎖了這個檔案而成功保護了使用者的電腦。從發現惡意軟體到防護中間歷時14 分鐘。 =================== 結果因為這個檔案是絕版的A片,所以使用者強制要求防毒軟體放行,然後就被加密了(誤) --
obov: 雷姆教 雷姆教 雷姆幫你蕊懶叫08/22 00:40
-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.200.207.246 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1513257924.A.09B.html
munsimli: 感謝8位烈士的壯烈犧牲解救了之後的使用者 12/14 23:23
brianuser: 其實1709後WD多了資料夾保護,但預設沒開 12/15 01:59
fatstan: 最後一句正確XDD 12/15 09:40
DINJIAPC: 微軟應該要設計強制設計資料夾保護的互動設定介面 並且 12/20 07:25
DINJIAPC: 將資料夾的操作規則納入雲端庫的規則中.只要企圖未授權 12/20 07:25
DINJIAPC: 的寫入行為。蒐集應用程式規則自然就能大殺此類所有模 12/20 07:25
DINJIAPC: 式的惡意軟體且降低犧牲時數 12/20 07:25
skycat2216: D大,那將其偽裝成授權操作呢? 12/20 17:45
DINJIAPC: 偽裝授權 是我會想盡辦法把目標的conodo移除 12/20 22:09
DINJIAPC: 再來 ,請問你要如何偽裝?你是說讓word,exelx自己去上 12/20 22:15
DINJIAPC: 那種開啟內文要打的密碼嗎? 12/20 22:15