終端戰争中,新一代安全産品的叫嚷聲一直是最大的。他們宣稱在查找零日惡意軟體上機器學習比特征碼檢測更有效。然而,這種聲明起到了兩種效果:首先,沒錯,機器學習确實在檢測新威脅上更有效;另一方面,卻暗指第一代廠商除了特征碼檢測就沒别的招了。這第二條就大錯特錯了,來自第一代廠商的嚴重反擊是可以預見的。
如今,反擊已正式開場。數周前,sophos釋出了一款新産品,稱為 intercept x。本月初,賽門鐵克旗艦産品sep最大的更新更新放出:sep14。這是一次近乎全新産品的全面革命性更新。未來幾個月裡,我們可以預期其他第一代廠商還将陸續推出更多的釋出。
賽門鐵克終端産品全球副總裁賈韋德·哈桑解釋道,sep14是為了“更強的防護、更高的性能、精心策劃的響應”而生。這3點要求是以創新的方式疊加多種技術而達成,“單一技術”廠商不可能完成這一壯舉。
“單一技術”似乎是第一代廠商為反擊基于機器學習的新一代廠商而征用的詞彙,就像某些新一代廠商傲嬌地将第一代廠商簡單歸類為“特征碼檢測引擎”一樣。eset進階研究員大衛·哈利最近的做法與之非常類似。“如果真的有代際差别,那就是老頑固們不像他們倚賴靜态特征碼一樣依賴單一算法;而小子們傾向于在市場營銷中大肆鼓吹非此即彼的觀點,宣稱自己不用特征碼,将機器學習捧成完美技術,惡意軟體一觸即退。”
這種“老頑固們”的多技術能力,存在于sep14内部。想最大化惡意軟體檢測,最友善的途徑就是把所有東西都當做惡意軟體了;但在商業環境裡,高誤報率是行不通的。真正的問題在于維持高檢測率的同時最小化誤報率。哈桑說:“我們一直保持sep的極低誤報率标準。内部檢測中隻有0.1%的誤報。”該誤報率采用特征碼檢測的系統可得,但采用機器學習檢測方法就不那麼容易獲得了(機器學習得出的是概然率,而不是簡單易懂的是/否結果)。相反,機器學習的概然率更有可能檢測還沒有特征碼的未知惡意軟體。
sep14如今尋求的是在不影響性能的情況下最大化兩種方法的好處。簡單講,sep14在終端融入了機器學習代理,而将病毒庫移到了雲端。“我們依然使用特征碼,但将其主體搬到了雲端。特征碼的最大用途現在圍繞更低的誤報,而不是更高的檢測率。”如今,終端上的機器學習檢測到可疑檔案,然後與賽門鐵克那全球最大的民用黑名單和白名單資料庫做對照。
有趣的是,雲散列查找實際上比本地存儲的特征碼資料庫散列檢測還更快。“雲查詢很小,因而檢測速度實際上還提升了——我們要麼磁盤掃描,要麼雲端查詢。磁盤掃描耗時比雲端查詢更長。機器學習檢測的東西也不是全部都需要雲查詢的——隻有在機器學習給出的機率留有懷疑空間的時候,才用雲查詢還進行确認。”
正是機器學習算法和特征碼病毒庫的雙重檢測,讓sep14保持極低的誤報率——最多隻有2%,比某些新一代廠商的最低15%好太多了(哈桑提到,他說的所有數字将經已在進行的第三方測試證明,結果将于數周内公布。)
但該方法仍留有一個sep14努力規避的安全弱點。機器學習想要檢測一個可疑檔案,該檔案必須是已經存到了磁盤上的。也就是說,感染已經發生;而這,是終端安全真正應該避免的。
本次釋出的版本中我們加入的,是漏洞利用緩解技術——檢測攻擊者所用瞄準漏洞的方法。漏洞利用所用的技術其實相對較少。該緩解技術所做的,就是阻止這些。
sophos上個月也表達了類似的觀點,稱隻有大約24種基本漏洞利用方法。不同方法結合不同平台(word、pdf等等),情況就複雜了,但與綜合惡意軟體特征碼庫的規模相比,幾乎可算微不足道。
終端上機器學習與漏洞利用緩解的結合,提供了最大的防護;而雲端的特征碼确認,則最小化了誤報率。這一安排還有2個更深遠的好處:
終端上機器學習檢出的零日惡意軟體可被立即發送到雲端,為所有客戶提供防護;
終端上的日常更新也相應減少。
“與sep12相比,sep14的更新減少了70%。更新不會完全消失,但被減少到相當于一天一封大郵件的量。”
哈桑魔法帽子裡放出的最後一隻兔子——編配。他說:“我們開啟了它,這樣客戶就可将sep14與其他産品進行編配協調,或者通過腳本進行關聯。你可以從sep14中抽出資料,使用腳本化的控制,在你想要修改終端安全狀态的時候就可以響應其他地方發生的事件了。”
好了,sophos和賽門鐵克都整完了,下面等着看mcafee的吧。
本文轉自d1net(轉載)
![查找算法之二分查找查找算法之二分查找[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)