AI惡意軟件照妖鏡 視覺運算揭病毒真身

▲ 中企通信信息科技服務(wù)與數(shù)據(jù)科學(xué)部副總裁李超群：他山之石可以攻玉，團隊走出傳統(tǒng)網(wǎng)絡(luò)安全思維，以數(shù)據(jù)算法，設(shè)計出突破性AI網(wǎng)絡(luò)安全檢測系統(tǒng)。

新科技速遞

隨著數(shù)字化轉(zhuǎn)型，企業(yè)數(shù)字基建的攻擊面愈來愈大，一些潛伏的攻擊也很難發(fā)現(xiàn)，如何防御惡意軟件，一直是網(wǎng)絡(luò)安全的挑戰(zhàn)。

近年來，勒索軟件、木馬、病毒、惡意挖礦程序等惡意軟件不斷大量涌現(xiàn)，不少更化整為零，繞過了防御系統(tǒng)，幾乎是防不勝防。

雖然說偵察軟件已推陳出新，但不少惡意軟件仍通過各種手段逃逸偵察，繞過防御，傳統(tǒng)網(wǎng)絡(luò)安全防御手段已窮于應(yīng)付。

去年，中企通信團隊就發(fā)明了嶄新檢測手法，將惡意軟件變?yōu)閳D形，再以神經(jīng)網(wǎng)絡(luò)，融合深度學(xué)習(xí)提取特征并建立檢測模型，只要惡意軟件具備共同圖形特征，通過視覺運算的邊緣推理引擎，就可快速判斷是否為惡意軟件并分門別類。

跳出框框打破傳統(tǒng)

這種檢測手法跳出傳統(tǒng)框框，不從網(wǎng)絡(luò)安全出發(fā)，甚至不須知道攻擊的手法，只純粹通過機器學(xué)習(xí)和視覺運算以辨識惡意軟件，有點類似以人臉識別執(zhí)行安保。

中企通信信息科技服務(wù)與數(shù)據(jù)科學(xué)部副總裁李超群說，團隊開發(fā)出上述技術(shù)，獲得了中國CCF大數(shù)據(jù)與計算智能大賽（CCF BDCI）「一等獎」，去年12月總決賽答辯日獲「人工智能惡意軟件家族分類」全場總冠軍。目前正在申請專利，以便有關(guān)技術(shù)可實際應(yīng)用。

這種偵察技術(shù)的優(yōu)勢，除了易于部署以外，亦更具效率。由于惡意軟件開發(fā)不易，不少只是舊酒裝新瓶，將原有軟件加入逃逸掩飾，或者轉(zhuǎn)換包裝；除非全新設(shè)計，否則都會被上述技術(shù)抽測出來。

變種的惡意軟件之所以難以偵查，主要是基于逃逸機制，通過不斷變種來增加掩飾。中企通信推出的AI網(wǎng)絡(luò)安全檢測系統(tǒng)，通過圖像特征即可準(zhǔn)確識別惡意軟件，任惡意軟件如何變種亦無所遁形。

為防范惡意軟件，市場有多種偵察技術(shù)；一般簡單的是靠「標(biāo)識符」（Signature）或特征代碼來進行偵察，一旦符合預(yù)定特征，就可判斷是惡意軟件。但隨著惡意軟件遭不停修改，再加入混淆，標(biāo)識符逐漸失去作用，原本隸屬于同一家族的惡意軟件，可化身為不同檔案，如妖怪變身，再加上層層偽裝，很難通過外表去分辨是否為同一惡意軟件。

▲ 中企通信信息科技服務(wù)與數(shù)據(jù)科學(xué)部團隊獲得了中國CCF大數(shù)據(jù)與計算智能大賽（CCF BDCI）總決賽答辯日獲「人工智能惡意軟件家族分類」全場總冠軍，正在申請專利，以便有關(guān)技術(shù)可實際應(yīng)用。（圖源網(wǎng)絡(luò)）

惡意軟件魔高一丈

高度非結(jié)構(gòu)化的惡意軟件，一般包括了ASM（ASCII）和PE（二進制）兩種數(shù)據(jù)的檔案結(jié)構(gòu)；ASM屬于可執(zhí)行的代碼，內(nèi)容憑肉眼就可以解讀，但PE檔則通常由編輯器產(chǎn)生；例如Windows系統(tǒng)的.exe和.dll可執(zhí)行文件，內(nèi)容則是二進制的機器碼。

這些檔案數(shù)量之多，難以一一掃描，揪出惡意軟件并加以分類。另一種方法是根據(jù)軟件行為特征，如在接收檔案之前，先把檔案列為分析目標(biāo)，儲存至默認(rèn)虛擬環(huán)境，通過一系列技術(shù)先「觀測」其行為；這種方法統(tǒng)稱為「沙盒」（Sandbox），典型的就是FireEye，以行為檢測APT惡意軟件。

不過在檢測之前，須清楚軟件的行為。有時惡意軟件在第一次檢測先按兵不動，與「沙盒」斗法，「沙盒」又要讀取文件內(nèi)容，更影響了隱私，且沙盒部署亦相對復(fù)雜。

中企通信團隊則巧妙利用視覺運算和深度學(xué)習(xí)，減少了系統(tǒng)的負(fù)擔(dān)，在偵察惡意軟件之余，亦可同時分類。在分析數(shù)據(jù)的過程之中，以AI演算和圖像識別，通過視覺運算深度學(xué)習(xí)，將復(fù)雜數(shù)據(jù)轉(zhuǎn)化為易于辨認(rèn)的圖像。AI模型易于部署，亦不讀取內(nèi)容，檢測的只是化身圖像。

抽出特征無所遁形

團隊首先將文件內(nèi)容變?yōu)樯蕡D像，RGB應(yīng)對成三維算法，內(nèi)容變圖像之后，數(shù)量仍會過于龐大，團隊再以專門學(xué)習(xí)數(shù)據(jù)特征的Autoencoder，以弱監(jiān)督（Weakly supervised learning）的神經(jīng)網(wǎng)絡(luò)模型，學(xué)習(xí)輸入數(shù)據(jù)的隱含特征，先經(jīng)「編碼」（Coding）學(xué)習(xí)內(nèi)容特征，再重構(gòu)原始輸入數(shù)據(jù)，稱之為「解碼」（Decoding）；如此一來，抽出特征并降低了復(fù)雜性，關(guān)鍵是編碼之后，較小圖像就可代表原始數(shù)據(jù)；團隊反編碼測試，發(fā)現(xiàn)重新編碼后，縮小的圖像跟原始圖片特征非常一致，有代表性。

「經(jīng)編碼后，少量文件可代表大量PE執(zhí)行文件產(chǎn)生圖片的主要特征，然后利用上述小圖為惡意軟件作特征分類?！?/p>

「惡意軟件為了逃避檢測，引入不同掩飾，也難逃Autoencoder訓(xùn)練AI模型『法眼』，分析數(shù)據(jù)過程以AI演算和圖像識別，在視覺運算模型的自動識別下，惡意軟件實時現(xiàn)形。」

以視覺運算去檢測和分類惡意軟件，部署也相對簡單，可在內(nèi)部網(wǎng)絡(luò)或云端上以 GPU算力輸入圖像作AI模型推理，揪出懷疑檔案，掃描大批檔案，毋須閱讀內(nèi)容，模型隨數(shù)據(jù)增加，重復(fù)訓(xùn)練改善準(zhǔn)確度。

李超群說，比賽評委贊揚團隊表現(xiàn)，在于技術(shù)走出了傳統(tǒng)的網(wǎng)絡(luò)安全思維，單靠數(shù)據(jù)演算，設(shè)計出突破性的AI網(wǎng)絡(luò)安全檢測系統(tǒng)；AI模型采用圖像識別技術(shù)，已包含多種演算法（AE及LGB），實現(xiàn)了高維度和多方向分類。該團隊由5名數(shù)據(jù)科學(xué)家組成。

文章來源：IT Square

關(guān)鍵詞： AI惡意軟件照妖鏡 視覺運算揭病毒真身 中企通信