过去擅长沙箱巨量资料分析和资安云端防护研究的毛敬豪希望利用资料科学方法,透过机器学习和採用更多层类神经网路架构的深度学习技术,来找出资安威胁原因。
这2年不少资安厂商都开始展开AI人工智慧资安布局,试图想要切入AI资安新兴市场,而台湾也不落人后,来自资策会资安科技研究所组长毛敬豪近日参加台湾资安大会时,也分享他们最近如何利用资料科学分析方法,来有效预测资安威胁的成果。
人工智慧资安从几年前开始就有不少讨论,但却迟迟没有商用化,直到最近几年,云端运算技术发展成熟,加上有越来越多开源AI开发工具释出,大幅降低了企业进入门槛,才使得人工智慧资安开始有了更多讨论。过去擅长沙箱巨量资料分析和资安云端防护研究的毛敬豪希望利用资料科学方法,透过机器学习和採用更多层类神经网路架构的深度学习技术,来找出资安威胁原因。
资料科学一般涵盖了叙述统计、分类、分群、回归、样态识别等各类型分析方法,毛敬豪表示,要利用资料科学来探索资安威胁的原因,第一件事就是得先蒐集足够多的情资才可以用于分析使用,「资料分析不能只讲原理、原则,而是以实际发生状况做分析,」因此毛敬豪说,他们取得这些情资的主要来源,包括了恶意软体报告,如Virustotal、VirusShare、? Anti Virus等,或者是一些漏洞披露资料库,如CVE、VulDB、NVD,以及弱点攻击程式资料库Exploits Database、0DAY Bank等。
当然光只靠公开的漏洞资料库或网站,来取得这些资安情资还不够,他们还加入了来自社群媒体相关的情报。毛敬豪解释,这是因为一些网路设备存在的老旧漏洞,并不是常见漏洞,所以并不会出现在如CVE漏洞资料库中,而只会在特定社群来讨论,再加上,现在因大量IoT设备而出现关于IoT弱点的情资,也是来自四面八方,难以只靠少数资安人力就能完整掌握,「所以社群媒体情资就变得非常重要。」毛敬豪说,目前他们分析的社群媒体是以Twitter为主,之后也会加入Facebook,未来更计画加上论坛使用者讨论内容来做分析。
毛敬豪表示,当蒐集到的情资越多越完整,这也就代表他们能从更多不同角度来看待问题,包括探讨不同漏洞影响程度等。而在分析前还必须拟好问题假设,等到确定问题后,接下来才是建立资料分析模型。
毛敬豪和其团队成员也打造一个弱点情资分析架构,可以套用在不同情资分析类型,包括Twitter、NVD、Keyword等。他也举了如何利用社群行为来预测CVE漏洞趋势当例子。作法上,是先将这些蒐集到的情资,先利用特徵关联方式,来建构出一个大型资料表(BigTable),并採用监督式机器学习方式来建立分类模型(classification model),同时也利用Exploits Database、NVD和微软Technet,以做为机器学习监督的参考基準,最后才产生分析结果。他们发现,在初步分析结果,SVM(Support vector machine)的準确率可以达到86%,不过这部分还可以再提升。
毛敬豪也分享他们从去年5月到11月Twitter上有关CVE特徵的分析成果,结果发现NVD公布的CVE数量和Twitter的讨论热度成正比,每当CVE出现在被揭露的月份时,该月Twitter上就会出现大量讨论,透过社群讨论行为分析,他们进一步发现,讨论最多的是以作业系统弱点最多、其次是网通设备,不少资安产品也都榜上有名。「这些都能用于判断CVE弱点发展趋势。」他表示。
毛敬豪当天分享的另一个利用资料科学分析资安的例子是他们利用日本横滨大学研发一个取名为IoT-Pot诱捕系统,取得恶意程式情资后,并利用与社群情资跟弱点资料库情资做异质关联分析,以预测弱点的扩散程度。
毛敬豪表示,他们利用免费线上扫毒服务VirusTotal来进行样本资料Labeling后,结果发现VirusTotal能成功辨识的恶意样本识别率只有19%,代表剩下将近81%的恶意程式都无法加以辨识。进一步分析后,这些被识别出的恶意程式,其中最常见的是一款名叫Trojan.Linus.Gafgyt的IoT恶意程式。其他也发现不少过时PC漏洞被利用于IoT装置设备上。此外,这些IoT恶意程式以Linux环境的ELF执行档格式居多,而PC为主的恶意程式则以PE32、ELF 32-Bit 格式最多,并多採用ARM、MIPS、Intel 80386硬体架构为主。
当有情资后,如何利用关联分析去推论从已知黑名单,来找出未知骇客基础架构是毛敬豪一直想要做的事。所以后来,他们也开发一套反向追蹤系统Ziffersystem,能透过分析方式帮助他们来拆解恶意程式的基础架构,能协助追蹤到源头这个恶意程式背后的连线者是谁,像是可以利用试探恶意网域的连结,或是对于Drive-by-Download的转址进行分析,如IP、URL等进行潜在分析,最后并绘整成一张可疑黑名单图表。
以后,当新取得可疑资料后,如新的URL位址,系统马上就可以很快拿来比对黑名单图表,一旦匹配符合,代表就有可能是潜在黑名单。他们利用这个机制过去每个月都帮他们找到许多黑名单。不仅如此,去年Mirai殭尸网路攻击事件,他们后来也透过此方式,从Trojan.Linus.Gafgyt样本中发现和Mirai的攻击中继站位址不少都是重複的,代表两者间可能存在某种程度的关联性。
毛敬豪表示,接下来也计画将Ziffersystem整合到SecBuzzer这个即将4月底上线的情资分析平台。这个网站初期将会提供各种情资,包括CVE排名、目前漏洞价位,及在推特讨论热度等,另外也会针对他们蒐集到的恶意样本分析製作成恶意软体报告,供有需要的企业或资安厂商来取用。
接下来,毛敬豪也提到,他们还有一个资安旗舰计画,将以机器感知(渗透测试)、深度学习和资料隐私安全三大资安研究计画为主。未来这些研究成果也将透过一些SDK核心模组和情资API串接方式,可以优先让国内业者优先採用。
?
iThome Security
I 相关 / Other
我老公是性无能,我出轨也是实属无奈,没想到的是我的相好竟然有一个母老虎般的老婆!我现在正是后悔死了,现在每天都活的很压抑!事情是这样的,我和我老公的性生活一直是不太和谐的,他是属于那种秒射君,而我是一
3月24日是“世界结核病日”,台湾胸腔暨重症加护医学会今天(24日)提醒,一般人多以为结核病离自己很遥远,但其实台湾每年仍有上万人感染结核病,呼吁民众应提高警觉,若经筛检出为潜伏感染者,一定要完成预防性治疗。
湖北姑娘小宋远嫁合肥,不幸的是四年前婚姻破裂。后来小宋就又找了一个,对方比自己大12岁,本想着大叔型的男人靠谱,没想到这一切竟然是噩梦的开始……第一次婚姻破裂 又找了个大叔小宋今年34岁,老家在湖北武汉。几
猥琐大叔公交上做不雅动作女乘客呵斥被威胁(视频) [非常娱乐]
3月16日下午,广西的韦女士在公交车上拍摄一段视频。从视频中可以明显看出,一男子已经将裤子的拉链拉开,正在做着一些不雅的举动。羞愧难当的韦女士一边呵斥男子的不雅行为,一边立即起身往车前方位置走去,见到情况
记者/本报讯 一年来,电子商务界缔造许多前卫创举,本报也不断更新最重要的电商消息,回顾2016年的产业动态,一同票选十大年度重要的新闻吧!│投票页面:https://goo.gl/K50APd│活动日期:2017年1月14日至1月31日