安全主題

機器學習:
進階威脅偵測的新領域

賽門鐵克使用進階機器學習,透過端點與雲端分析檔案屬性、行為與關係。

機器學習

機器學習是今年最熱門的技術趨勢之一,此話題推動了創新,為企業與消費者技術層面帶來影響。在網路安全產業中,很多公司大言不慚地聲稱要採用機器學習,但是常常不清楚這意味著什麼,它如何運作,甚至不知道機器學習為何重要。

本章節中,我們將說明更多有關賽門鐵克對機器學習的投資情況,以及此舉如何推動重要的技術創新。詳情請見Symantec Endpoint Protection 14

 

根據上週的公告,相較於競爭產品,由於這款全新軟體採用了最先進的機器學習技術,可封鎖更多攻擊,同時大幅提高了攻擊者的門檻。 為了實現這個目標,我們將由大量資料、先進的演算法與技術組成的一種多層式方法與自動系統相結合,使我們始終領先於攻擊者。

 

網站安全

Symantec Endpoint Protection 14

賽門鐵克的進階機器學習中心

機器學習研究由賽門鐵克的進階機器學習中心主導,該中心成立於 2014 年。 該團隊目前延攬 20 多位專家,他們能夠執行機器學習體系、演算法與應用程式的高強影響力的研發,以解決安全性和資訊管理挑戰。 這包括深度學習、概率規劃、強化學習與貝氏非參數法方面的尖端研究。 

為了 Symantec Endpoint Protection 14,該團隊與賽門鐵克的安全專家一同合作,努力開發一套機器學習技術,這些技術可以合作檢查三大攻擊維度。 

這三個維度的要點在於彼此互補,所以每一個維度在阻止威脅方面都非常強,因為其他兩個維度會對此維度的結論進行「檢查」。

 

攻擊的三大維度

透過分析檔案的內容 (靜態)、行為如何 (動態) 以及透過雲端與其他檔案、機器及網址之間的關係 (起源),三個維度一起提供多層式威脅評估:

  • 靜態屬性: 我們從檢查檔案的上千種靜態特性開始,比如檔案名稱、功能調用、熵等。
  • 動態行為: 然後我們深度挖掘,瞭解程式的動態行為。我們會注意上千種行為的組合,例如,此程式是否連接至網路、是否啟動其他流程、是否存取登錄機碼等。
  • 關係與信譽: 為使功能更加完整,我們會檢查此檔案與其他檔案、機器及網址的關係,以產生一個檔案「信譽」。 受「人群智慧」的啟發,此信譽分析將在我們的雲端中大規模執行巨量資料檢查,使我們能夠瞭解在全球一個或多個機器上見過的某個程式是否可能是惡意程式。

巨量資料 + 預測模型 = 更智慧的防護

巨量資料是賽門鐵克進行機器學習的核心。 因為我們廣泛涉足端點、網路與雲端安全,所以我們每一天每一分鐘能夠收到來自超過 1.75 億端點發送的威脅與攻擊資料,有 5700 萬攻擊感應器受到即時監控。 這表示有數十億檔案以及將近四萬億的關係。 這是一個龐大又豐富的資料庫,可以用來訓練我們的分類系統判定「良」、「差」及之間的所有狀態。

這很重要,因為資料是 機器學習的燃料。資料越多越好。 擁有的資料越多,就「越能」建立準確又高效的偵測技術。 而且資料越豐富越好。 輸入的資料越是多元與豐富,就越能發現重要的隱藏關係。 最終,機器學習系統取決於用於訓練的資料庫的質量、多樣性與範圍,而我們擁有全球規模最大的民用威脅情報網路,能夠因此而受益。

若資料是燃料,那麼演算法就是 機器學習的引擎。演算法取得資料並產生模型,以便為我們提供預測,例如確定檔案是否為惡意檔案。 很多公司在演算法與模型上大做文章,因為這些公司總是追逐新潮,而新的演算法與模型總是相繼問世,從不停歇。 竅門在於,要知道如何為手頭的任務與資料找到正確的演算法 ,而這就是機器學習從業人員的秘方。

關鍵技巧

我們使用的一個關鍵技巧是「組合」,簡單地說就是「使用多種模型並透過良好的方法將模型組合在一起」。 這是取得可行的最佳模型的關鍵 —— 而且曾在 1 百萬 Netflix 大獎中使用。我們透過專有組合技術加入了一點「魔法」,使得我們的系統瞭解如何能夠以最佳方式利用多種不同的模型組合預測,即使我們在訓練期間不知道正確的預測是什麼。

我們使用的另一個關鍵技巧是「適應」。 我們的安全模型必須進行持續微調才能追蹤敵人、軟體中的變化、網路格局,以及使用者行為的變化。 這些對傳統機器學習來說是非常困難的。 對 Symantec Endpoint Protection 來說,我們使用了名為推進的「中繼演算法」,可以反覆改善模型,也就是說每次關注模型之前犯過的錯誤並糾正錯誤,而且不會「重蹈覆轍」。

最後同樣重要的是,對我們來說,自動化是 衡量機器學習的關鍵我們為整個機器學習過程建立自動化,從吸收、清潔與處理我們的遙測技術,到優化與探索不同的模型。 若是沒有自動化 (當然還有充足的電腦計算能力),根本不可能「處理所有數字」並產生最佳模型。 

最終結果是什麼?

簡而言之,賽門鐵克可為端點安全提供最進階的機器學習。 一家領先的獨立測試組織 (AV-Test) 最近測試了Symantec Endpoint Protection 14,此軟體在偵測與表現方面打敗了所有競爭對手,誤報量最低。 即使是人工的「掃描」測試中,這款新軟體也偵測出了將近 100% 的威脅,誤報率幾乎為零。 (重要的是,Symantec Endpoint Protection 14 誤報表現可以進行調整以滿足客戶的企業政策要求。)

對威脅偵測的這一新領域,我們感到振奮不已,因為透過機器學習與人工智慧,我們已然實現。 正確使用,加上在端點與雲端上分析豐富又多元的大量資料,這些技術成為了對抗攻擊者的真正變革者。

如需更多資訊,請檢視隨選網路研討會, 瞭解Symantec Endpoint Protection 14 機器學習的功能與優勢。按下 此處瞭解關於新產品的更多資訊。

立即測試網站安全性

Symantec CryptoReport

檢查SSL/TLS 憑證安裝。

立即測試

漏洞評估

漏洞是潛在的入口,網站的功能或資料可能會從這個入口受到破壞、下載或操縱。典型的網站 (甚至是最簡單的部落格) 也可能有上千個潛在漏洞。

繼續閱讀

使用防火牆的重要性

使用防火牆防止威脅的重要性

雖然防毒軟體可以協助防止檔案系統安裝不當的程式,但是防火牆可以協助從一開始便防止攻擊者或外部威脅進入您的系統。

繼續閱讀

Instagram 帳戶被駭客攻擊

Instagram 帳戶被駭客攻擊,變成推廣成人約會的垃圾郵件

詐騙者攻擊 Instagram 帳戶並使用性暗示影像修改個人資料,誘惑使用者進入成人約會網站與發送色情垃圾郵件。 

繼續閱讀

使用案例

Symantec Website Security 解決方案的真實使用案例

加入社群

加入 Symantec Connect 上的安全討論

SYMANTEC CONNECT

在 Twitter 上 @Threatintel 掌握威脅情報

SYMANTEC ON TWITTER

在 YouTube 頻道上收看影片,瞭解 Symantec Website Security

SYMANTEC ON YOUTUBE

我們已經更新了我們的隱私政策,可以在這裡找到。