Udostępnij za pośrednictwem


创建智能“沙盒”,协调根除恶意软件

大家好!我目前正在中国北京举行的 2014 PCSL 信息安全技术年会上倡议协调根除恶意软件。

协调根除恶意软件也是我上一篇博文的主题。我当时就说,如果我们要摆脱当前各自为政而遭受恶意软件 侵害 的状态,转向协调 根除 恶意软件,反恶意软件生态系统就必须开始新型合作伙伴合作。从那以后,我们一直在世界各地举行的会议上谈论这些观点,包括在美国旧金山举行的 RSA 年会、在新加坡举行的数字犯罪联盟会议以及在中华台北举行的科技展暨亚太信息安全论坛。反恶意软件生态系统的参与度一直以来都很高。安全与防病毒 (AV) 供应商、服务提供商、计算机紧急响应小组 (CERT)、反欺诈部门以及执法部门全都加入商讨,提出有关监管、沟通渠道和益处等方面的重要问题。

这些讨论的总主题集中在以下方面:我们如何能够利用我们所掌握的信息并采用新方式将这些信息联系起来,该主题还涉及到云中的机器学习和海量数据分析。相信这是加快我们根除恶意软件工作进展的最有效方式。这就引出下一个问题:如何创建一个智能“沙盒”来实现这一点?

一段时间以来,反恶意软件公司已经在应用机器学习和海量数据分析,以便更快地生成更多恶意软件检测结果。机器学习就是对机器进行训练,从大量标记信息流中找出信号模式,然后对未来数据使用这些模式,同时利用反馈不断提高准确性。标签越强,信息越多样,机器就变得越有效。

机器学习与人类学习类似。例如,当初学走路的孩子看动物时,起先感觉似乎所有动物都一样。然后他们学习区分狗和猫。很快他们也能分辨狮子狗和寻回犬了。必要时我们会对他们进行纠正,重复多次后,他们不久就开始寻找更高效的识别模式。如果用机器学习的术语来描述,就是使用标记信息对初学走路的孩子进行训练。他们从看到的动物中提取信号模式,然后对看到的新动物应用这些模式。

人类直观而自然地执行此过程,而机器需要复杂的算法并通过庞大的数据集进行训练。目前在反恶意软件业务中有三种主要机器学习信号源:遇到的恶意软件威胁中自愿选择加入的遥测数据、对恶意文件的分析以及我们的合作伙伴提供的恶意软件信号。

为了帮助大家了解我所谈论的数据量和规模,下面举一个例子:恶意软件保护中心 (MMPC) 机器学习系统每月分析 3000 多万不同的文件样本,并将此信息与我们对关联的文件、网络和使用模式所了解的做相关分析。我们的系统对文件样本进行分类,然后自动为那些标识为恶意软件生成特征检测并发行。信号管道巨大,因此我们可以快速发现新的恶意软件。当我们将此信息与我们的内部 AV 研究人员分析的结果相结合时,我们的机器就会更智能,我们的客户也就获得更大的保护。

我们还将机器学习先进技术与云配合使用。例如,我们自动识别显示出预警恶意模式的文件。基于云的机器将该恶意行为与用于确定 AV 软件是否应该进行干预以进行阻止的特定软件的声誉相关,比客户端计算机执行检查时更快、更好且更高效。在许多情况下,即使在提供检测签名之前,我们也能够保护客户端。

虽然机器学习已经对恶意软件保护做出了巨大的贡献,但是我相信,除非我们确定如何识别特定攻击者,以及如何在指定的恶意软件系列的整个生命周期内对其恶意活动进行跟踪,否则就不能全面根除恶意软件系列。AV 行业需要了解特定恶意软件系列是如何开发和分发的、如何控制的、如何响应变化的以及如何获利的。

要回答这些问题,除了遥测、分析以及传统安全供应商合作伙伴提供的信号类型之外,我们需要机器将更多信息相关。这时就需要协调根除恶意软件合作关系。通过合作以及将信号相关,我们可以从更高的层次看问题并发现瓶颈所在,这正是恶意软件编写者的弱点。

下一个问题是如何实现此目标。正如我前面所说,我们需要一个足够大的“沙盒”,这样各个业内合作伙伴就可以提供各种信号并部署他们的机器学习和分析工具。除了遥测和分析数据之外,微软还可以提供大量基于云的可伸缩存储和计算能力,其中内置了必要的海量数据分析工具。我们的合作伙伴可以提供新的信息信号、强标签以及他们自己的工具,以便更好地对所有机器进行训练。

以典型的点击欺诈攻击为例,广告网络可以看到被滥用的 URL、所用的银行帐户以及所涉网站。CERT 或 ISP 可以看到命令和控制系统的某些部分,例如 URL、所提供的文件、域注册机构等。AV 供应商可以看到客户端代码及其使用的 URL。如果不进行合作,任何一方都无法了解有关攻击的全部信息。但是进行合作之后,就非常容易找出相关性(至少在此示例中如此)。

如此大规模地对紧密相关的信号应用机器学习,意味着我们可以应对攻击。希望这会让坏人无处可逃。
这样,我们就能够整个行业联合起来,打击恶意软件作者及其供应链,并阻止他们企图捣鬼和窃取客户
资料。

欢迎大家参与商讨。我们将会在即将开始的一系列活动中举行圆桌会议讨论。最新安排如下 如果想要参加讨论,请将电子邮件发送至 cme-invite@microsoft.com

Dennis Batchelder

合作伙伴项目经理

MMPC

即将开始的圆桌会议讨论

-    2014 PCSL 年会,2014 年 4 月 1 日–2014 年 4 月 2 日

中国北京

-    CARO 研讨会,2014 年 5 月 15 日–2014 年 5 月 16 日

美国佛罗里达州墨尔本

-    第 26 届 FIRST 年会,2014 年 6 月 22 日–2014 年 6 月 27 日

美国马萨诸塞州波士顿

-    微软安全研究联盟峰会

2014 年 7 月 22 日–2014 年 7 月 24 日

仅限应邀参加。需要签署保密协议。

美国华盛顿州西雅图