近日,第四届国际反病毒大会在津召开。深信服科技首席安全官周欣受邀出席并发表了以《人工智能在勒索病毒检测中的创新实践》为主题的演讲。
由天津市政府主办,国家计算机病毒应急处理中心、天津市公安局承办,天津市滨海新区政府、国家网络与信息安全信息通报中心协办的第四届国际反病毒大会,作为首届网络空间安全(天津)高峰论坛的重要组成部分,以“构建数字安全屏障,助力全球经济发展”为主题,邀请了亚洲反病毒研究者协会主席艾伦·戴尔,俄罗斯卡巴斯基创始人、首席执行官尤金·卡巴斯基,以及国内外知名专家学者、行业精英围绕共商共建共享全球治理观,分享了在反病毒领域最新见解和最佳实践,并从多角度、多层面、多领域对网络空间安全治理进行研讨交流。
深信服自2015年起就率先在AI能力上进行战略布局及坚定投入,大会上,深信服科技首席安全官周欣从勒索对抗的角度,展现了人工智能在网络安全上的实践与创新,为现场专家学者带来了深信服在勒索治理上的理念见解与技术突破。
“魔法”对抗“魔法”,
勒索防护需纵深立体化
随着人工智能的发展,勒索病毒也搭上了人机共智的快车,高级黑客和勒索病毒的制作者将自己的勒索经验和能力固化到勒索工具之中,借助人工智能的技术和产业化的勒索即服务流程持续疯狂进化。
在该趋势下,深信服认为,应用AI技术防御勒索病毒,尤其是未知勒索病毒,是应对勒索攻击的最佳实践。尽管业内已经有不少基于AI技术解决勒索病毒的思路,但主要都集中在第一和第二阶段,即通过专家系统查杀已知病毒和基于统计学习的病毒查杀,第三和第四阶段是目前持续演进的目标。
结合现有勒索病毒防御存在的不足和AI技术在勒索检测中的价值,深信服提出了勒索治理的理念:
一、以人工智能为核心。攻击者已利用AI技术将攻击行为自动化、产业化,在防御侧,以人工智能技术为核心,通过“魔法”打败“魔法”是必经之路,否则难以形成有效防御体系;
二、建立纵深立体化防御体系。勒索攻击有两个明显特点,一是勒索链条化,攻击组织提供勒索即服务模式,构建完整的勒索多阶段战术;二是初始访问突破业务产业化,攻击者采用很多高级对抗技术,实现攻击的高隐蔽、强对抗。因此需要建立涉及多战术阶段的纵深立体化勒索防御体系。
误报下降5倍,
AI在勒索检测的产品级创新实践
以人工智能为核心,打造纵深立体化防护体系,对抗未知勒索病毒攻击,需结合勒索攻击的四个主要生命周期——边界突破、病毒投放、加密勒索及横向传播来构建。
在这个方案中,深信服重点打造4-6-5三层防护体系能力,让勒索无所遁形。
在构建了纵深立体化防御体系后,深信服重点布局基于AI的勒索病毒检测技术,自主研发了针对勒索病毒的SAVE引擎。
SAVE引擎在算法创新、训练平台、引擎架构都进行了创新。在算法上,采用了多智能体算法推荐架构,与以往单模型相比,在检测模型泛化能力、未知和变种病毒的检测能力及病毒家族的报准率上都得到显著提升,重点解决了未知样本检出能力,未知样本检出率目前在国内排名前列;在平台上,构建了全套分布式平台,训练后的模型误报率下降5倍;引擎架构的改进也让模型发布周期从一年,提升到现在的3个月。
在先进算法和训练平台的加持下,深信服的勒索检测获得了权威机构和市场的认可。除了连续3年满分通过AV-TEST测评,去年在AV-TEST针对勒索软件防护的高级威胁防护的测试中,更是国内首家、也是唯一一家满分通过的厂商。
深信服统一端点安全管理系统aES国内率先应用勒索AI行为防护模型,今年截止到8月份线上累计发现客户侧真实防住勒索事件破百起,其中90%的事件为勒索行为AI模型成功事中防护白利用类型勒索,成为国内能够事中防护阻断一系列Tellyouthepass勒索攻击(其中多起0day和Nday漏洞利用进行边界突破)的端点安全产品,实现基于AI的终端高精准检测、高自动化防御,真正捍卫用户终端安全。
深信服在人工智能的研究与应用上创新不止,不断将AI技术赋能到安全产品与服务中,致力于让所有用户安全领先一步,让体验领先一步,让效果领跑一路。