瑞星卡卡安全论坛
麦青儿 - 2018-11-5 10:44:00
10月31日-11月2日,由京东安全和HITB联合举办的2018京东HITB安全峰会在京举行。据悉,HITB是全球安全研究人员每年必参加,全球影响力排名前三、长期活跃于欧洲和亚太地区的安全技术峰会。本次与京东安全联手,是HITB成立15年来首次来到中国。瑞星作为国内知名安全厂商代表受邀出席了此次会议。
本次峰会上,享誉国际的知名极客与中外知名安全大咖们齐聚一堂,聚焦前沿安全技术,从全球视野、战略高度共同探讨如何应对未来世界网络威胁。在大会的致辞中,京东集团CTO张晨表示:“极客是一群富有创造力,天生热爱技术、探索技术的人,世界科技发展至今天,极客起了很大的作用,京东愿与全球极客同仁共同建设安全可信的网络世界。”京东首席信息安全专家Tony Lee和HITB创始人Dhillon Kannabhiran也同时出席领袖日共同开启了信息安全的国际交流大门。
京东集团CTO张晨
瑞星安全研究院院长叶超在会上发表了“基于机器学习的恶意软件”的主题演讲,他表示,瑞星一直以来都致力于AI技术的研究与落地,早在2012年瑞星就开始探索机器学习在反病毒中的应用,基于指令流的Malware-Crypter识别、PDF Exploits识别,同年,瑞星又尝试了基于决策树的恶意软件识别方案。
瑞星安全研究院院长叶超演讲
2016年,瑞星根据之前几年应用机器学习获得的经验,研发了高维度、大规模的基于随机森林的Windows恶意软件识别引擎-RDM+。高维度特征提取自文件结构、内容以及分析,训练样本达数千万(囊括了1亿以上的文件)。
坊间常说,“数据和特征决定了机器学习的上限。模型和算法只是逼近这个上限而已”。瑞星在研发RDM+时,主要的工作放在了特征工程上,设定了4778维的特征向量,这些特征来自文件基本指标、编译器分析、异常节表分析、PE结构各指标、关键数据熵、指令流及指令流分析以及代码数据分析。
模型设计上,RDM+采用“降维模型+预测模型”的双随机森林组合的方式,在实际预测过程中,降维模型负责高维度向量转换成低维度向量,并将该输出作为预测模型的输入,最终以预测模型的输出作为结果。这种方式一是解决了“在大规模、高维度样本集合上训练模型较为耗时”的问题,二是实现了“高频迭代的小规模样本近增量训练”的需求。
另外,误报是人工智能在恶意软件检测领域应用的最大障碍。即使模型的错误率是1%,这也是无法接受的。为此,在RDM+设计的初期就设定了一个原则:“宁可不报,也不误报”。
除了RDM+,瑞星正逐渐在传统的检测技术上全面叠加人工智能检测技术,首先是将人工智能应用到最重要的APT攻击检测领域上,对于主要的APT攻击投递载体,例如:Flash文件,PDF文件,MSOffice文件,都在进行对应的特征工程以及方案验证。
目前,瑞星AI反病毒引擎已在瑞星全线产品中应用,产品防毒能力大幅提升,赛可达2017杀毒软件查杀能力报告显示,瑞星杀毒软件在“静态扫描”和“动态测试”两类中均取得第一,充分说明了瑞星的杀毒能力,接下来,瑞星还将继续更多的尝试,一是技术落地,逐步完成人工智能检测技术对传统检测技术的全面叠加,二是持续探索,尝试更多不同角度的特征工程和学习方案。
1
© 2000 - 2024 Rising Corp. Ltd.