厂商称机器学习误判率高!以神经网络检测恶意软件是解决方法?

..

厂商称机器学习误判率高!以神经网络检测恶意软件是解决方法?

厂商称机器学习误判率高!以神经网络检测恶意软件是解决方法?

机器学习是 weak AI 的一部份,其中 Siri 便是例子。之所以称之为弱 AI,其中的原因是这些工具的 AI 是活在一个由人类设计的框架之下,而下一步将会愈来愈普及的必定是由神经网络推动的真正 AI,这些 Strong AI 强 AI 能做到真正自我思考,就像人类一样,并不需要再活在人类所定下的框架之中。

因此当一套方案植入了强 AI,这意味着它将是无所不能!不过现今真正做到强 AI 的产品暂时仍未得见,而市面上称为强 AI 的方案,很多时都是传统的弱 AI 而已。

近日 Sophos 在推出的 Intercept X 下一代端点安全方案之中,便强调是使用了由深度学习 (Deep Learning) 神经网络赋予的恶意软件检测能力,令方案真正 AI,结合上主动黑客攻击缓减、进阶应用程式锁定,以及勒索软件防护,实现人工智能检测和预防。

究竟当中的 AI 是属于那种呢?无人得知!不过向深度学习方向发展亦证明了这家厂商拥有前瞻性。深度学习是机器学习的最新演进,利用可大规模扩展的检测模型洞悉所有观察得到的威胁形势。与传统的机器学习相比,深度学习可以处理数以亿计样本,使其得以更快的速度、更低的误报率作出更准确的预测。

Sophos Intercept X 新版本除了进一步向真 AI 出发外,亦配备了多项新技术,包括防勒索软件和漏洞利用防护,以及凭证盗窃防护等主动黑客攻击缓减功能。目前黑客因应防恶意软件技术的改进,改为倾向盗用存取凭证,以求合法用户身份在系统和网络中四窜行动,而 Intercept X 便针对有关方面提供防御能力。

该方案可透过云端管理平台 Sophos Central 部署,与任何厂商现有的端点安全软件一同安装,即时加强端点保护。当与 Sophos XG 防火墙一并使用时,Intercept X 更会引入同步安全功能,进一步提升防护能力。

Intercept X 的新功能包括:

深度学习恶意软件侦测

-深度学习模型可在已知和未知的恶意软件以及“潜在不需要应用程式”(PUA) 执行前就对其进行侦测,无需比对特征码。

-该模型大小不到 20MB,亦毋须经常更新。

主动缓和对手攻击

-凭证盗窃防护:防止有人窃取内存、登录档和永久储存系统中的授权密码和杂凑资讯,以免这些资料被 Mimikatz 这类攻击利用。

-代码漏洞利用:检测出植入于其他应用程式中的代码,制止这种通常用于存留和反病毒措施的手法。

-APC 保护:检测异步程序呼叫 (Asynchronous Procedure Call,简称 APC) 的滥用。APC 通常用于 AtomBombing 代码注入手法,而最近更被用于透过 EternalBlue 漏洞和 DoublePulsar 工具传播 WannaCry 蠕虫与 NotPetya 清除软件 (攻击者滥用这些呼叫来骗使其他进程执行恶意代码) 。

更强的漏洞利用防御技术

-恶意进程调用:侦测攻击者用来调动于系统上运行进程之遥距反射 DLL 注入法。

-进程权限提升:防止低权限进程被蓄意升级这种扩大系统存取权的伎俩。

增强应用程式锁定

-浏览器行为锁定:Intercept X 会阻止有人恶意使用浏览器的 PowerShell,以作为基本的行为锁定措施。

-HTA 应用程式锁定:由浏览器加载的 HTML 应用程式将如浏览器一样被施以锁定防护。

 

Tags: , , , , , , , , , , , , , , , , , , , , ,


想在手机阅读更多Microsoft资讯?下载【香港硅谷】Android应用
分享到Facebook
技术平台: Nasthon Systems