安全主题

机器学习:
高级威胁检测的新前沿

赛门铁克使用高级机器学习 – 通过端点和云 – 来分析文件属性、行为和关系。

机器学习

机器学习是今年最热门的技术趋势之一,在推动创新的同时,也在企业和个人技术领域掀起新的浪潮。在网络安全行业内,虽然有许多公司在表面上声称要进行机器学习,其实他们通常并不清楚机器学习的内涵、工作原理,甚至其重要意义所在。

在本节中,我们将分享有关赛门铁克对机器学习的投资的更多洞见,及其如何推动 Symantec Endpoint Protection 14 的重要创新。

 

这个在上周公布的新软件采用最先进的机器学习技术,阻止的攻击比竞争对手多,而且会大大提高攻击者的攻击门槛。为了实现这一点,我们将多层次方法与海量的数据、高级算法和技术以及自动化系统结合在一起,以领先于攻击者的步伐。

 

网站安全

Symantec Endpoint Protection 14

赛门铁克高级机器学习中心

机器学习工作由 2014 年成立的赛门铁克高级机器学习中心负责。该团队现在有 20 多位专家,他们在机器学习架构、算法和应用方面进行具有高度影响力的研发,以应对安全和信息管理的挑战。这包括深度学习、概率规划、强化学习和贝叶斯非参数领域的前沿研究。 

对于 Symantec Endpoint Protection 14,该小组与赛门铁克的安全专家合作,开发出一套旨在共同发挥作用以检查攻击的三个主要维度的机器学习技术。 

这种三维度技术的优点在于它们能够相互补充,所以每个维度都可以大胆地阻止威胁,因为其他两个维度会对其结论进行“检查”。

 

攻击的三个主要维度

这三个维度通过分析文件(静态)、行为(动态)以及与其他文件、计算机和 URL(来源)之间的关系(通过云),共同提供多层次威胁评估:

  • 静态属性: 我们首先检查文件的数千个静态特性,例如文件名、函数调用、熵等。
  • 动态行为: 然后,我们深入了解程序的动态行为。我们会观察数千种行为的组合 - 例如,程序是否连接到网络、是否启动另一个进程、是否访问注册表项等。
  • 关系和信誉: 为获得最佳效果,我们检查文件与其他文件、计算机和 URL 的关系,以生成一个文件“信誉”。 受到“群体智慧”的启发,这种信誉分析在云端基于大数据进行大规模运行,使我们能够了解仅在世界上的一台或几台计算机上所见的程序是否可能是恶意的。

大数据 + 预测模型 = 更智能的保护

大数据是赛门铁克机器学习方法的核心。由于我们的产品在端点、网络和云安全领域被广泛应用,我们拥有来自超过 1.75 亿个端点的威胁和攻击数据,以及 5700 万个每时每刻都受到实时监控的攻击传感器。这会转换成数十亿个文件和近四万亿种关系。这是一个庞大而丰富的数据集,可以对我们的分类系统进行训练,使其分辨:“好”、“坏”以及介于二者之间的各种状态。

这很重要,因为数据是 机器学习的燃料。您需要大量数据。您拥有的数据越多,在建立精确和有效的检测技术方面就能走得“更远”。您还需要丰富的数据。数据输入越多样化、越丰富,就越有可能发现重要的隐藏关系。最后,机器学习系统的效果仅与用于对其进行训练的数据集的质量、多样性和覆盖面有关,而我们则受益于世界上最大的民用威胁情报网络。

如果数据是燃料,那么算法就是 机器学习的引擎。算法获取数据并生成用于提供预测的模型,例如判断文件是否是恶意的。不同的公司对算法和模型各执己见,因为它们是潮流,并且不断有新的算法和模型出现。。其中的窍门在于了解如何将正确的算法与手头的任务和数据相匹配 - 这才是机器学习从业者的秘密武器。

关键技术

我们使用的关键技术之一是“组合”,要直白的说就是要“使用许多模型并以良好方式将其结合起来”。这是获得最佳模型的关键 - 这种方法曾在 百万美元大奖 Netflix Prize 中取得良好表现。我们通过专有的组合技术增加了一些“魔法”,使我们的系统能够学习如何最好地组合来自许多不同模型的预测,即使当时我们在训练期间并不知道正确的预测是什么。

我们使用的另一个关键技术是“适应”。我们的安全模型必须不断调整优化,才能跟踪对手、软件和网络环境的变化以及用户行为的变化。这些是传统机器学习的重大障碍。对于 Symantec Endpoint Protection,我们使用称为“提升方法”(Boosting) 的“元算法”,它通过迭代改进模型来运行 — 每次都重点关注模型中以前发生的错误并纠正错误,而不会“忘却”正确的事情。

最后但并非最不重要的是,自动化对我们 规模机器学习至关重要。我们建立了针对整个机器学习过程的自动化:从采集、清理和处理我们的遥测数据,到优化和探索不同的模型。没有自动化(当然,以及没有足够的计算能力),根本就不可能“咀嚼所有数字”并生成最好的模型。 

最终结果是什么?

简单地说,赛门铁克拥有端点安全领域的最高级的机器学习技术。领先的独立测试机构 (AV-Test) 最近测试了 Symantec Endpoint Protection 14,它以最小的误报率在检测与性能方面击败了所有竞争对手。即使在人工“扫描”测试中,这款新软件也检测到了几乎 100% 的威胁,而误报率几乎为零。(重要的是,Symantec Endpoint Protection 14 中的误报率性能可以进行调整以满足客户政策的要求。)

我们对通过机器学习和人工智能实现威胁检测的新前沿而感到振奋。这些技术的正确使用,再加上来自端点和云中被分析的的大量丰富多样的数据,在如何打击攻击者方面真正改变了游戏规则。

如需了解更多信息,请查看按需网络研讨会: Symantec Endpoint Protection 14 中机器学习的功能和优点。请点击 此处,了解有关新产品的更多信息。

立即测试您的网站安全状况

Symantec CryptoReport

检查您的 SSL/TLS 证书安装

立即测试

漏洞评估

漏洞是潜在的入口点,网站的功能或数据可由此入口点遭到破坏、下载或操纵。一般的网站(即便是最简单的博客)也可能拥有数千个潜在的漏洞。

继续阅读

使用防火墙的重要性

使用防火墙进行威胁防护的重要性

虽然防病毒软件有助于保护文件系统免受有害程序的攻击,但防火墙能够最先防止攻击者或外部威胁访问您的系统。

继续阅读

Instagram 帐户遭到黑客入侵和篡改,

Instagram 帐户遭到黑客入侵和篡改,用于传播成人约会垃圾邮件

 诈骗者黑客入侵 Instagram 帐户,并用性诱图片更改个人资料,引诱用户浏览成人约会网站并发送色情垃圾邮件。

继续阅读

使用案例

赛门铁克网站安全解决方案的实际应用

加入社区

参与 Symantec Connect 上的安全主题讨论

SYMANTEC CONNECT

在 Twitter 上关注 Threat Intelligence:@Threatintel

SYMANTEC ON TWITTER

观看 YouTube 上的赛门铁克网站安全视频

SYMANTEC ON YOUTUBE

我们已经更新了我们的隐私政策,可以在这里找到。