用深度学习预见风险

“未命名”的副本

Sophos总部, 设于英国Abingdon

“Sophos自己开发的深度学习算法,呈现出一种互相联结的神经层,我们称之为网络神经元,就类似人类复杂的神经系统一样。”李黎,Sophos 售前工程师日前在接受采访时,谈到Sophos刚刚推出的Sophos Intercept X,强调:Sophos Intercept X新增的深度学习神经网络,与传统意义上的机器学习是有区别的,其具有更快的速度、更准确的结果,以及更少的误报率。

众所周知,机器学习理论事实上是从数据中自动分析获得规律,并利用规律对未知数据进行预测的一种算法。所以对于算法的设计,是其是否能够发挥更大价值的关键——因此,虽然很多的IT产品都声称采用了机器学习技术,但是由于采用的算法不同,其效率和效益往往不具有可比性。

实际上,在现在的IT领域,将各种新兴技术应用到各种业务场景,已经成为IT系统和服务提供商的“标配”。而Sophos此次要证明的是:其自主研发的、被应用到端点保护方案的“深度学习神经网络”,将能够大大提高用户对恶意软件的检测功能,结合主动黑客攻击缓减、先进的应用程序锁定,以及增强型勒索软件防护等功能, 从而实现了前所未有的检测和预防能力。

从纯粹的技术角度看,在机器学习众多的算法当中,目前比较多被采用的有决策树算法和随机森林算法,前者根据数据的属性,采用树状结构建立决策模型,是直观运用统计概率分析的一种方法;后者则是用随机的方式建立一个森林,森林里面有很多的决策树组成,而且每一棵决策树之间没有关联。

如果想要把机器学习应用到具体的业务场景,还需要在算法模型的基础上,提供具有针对性的训练。一般来说,训练的样本和属性越多,得到的预测结果会越好,但是添加的数据越多,模型也会变得更加复杂,所占用的运算资源也越多,速度也越慢。实践的结果显示:“决策树算法”计算的速度快,但是结果正确率低;“随机森林算法”的结果虽然精准,但占用的计算资源大,运算时间长——难以两全齐美。

“Intercept X的深度学习神经网络,让系统可以通过经验进行学习,从而在观察到的行为和恶意软件之间,建立关联。这些关联性分析,提高了对现有的和零日恶意软件检测的精确性,降低了误报率。ESG实验室的分析表明,这种神经网络模型很容易扩展,并且它得到的数据越多,模型就变得越智能。这样就可以主动进行检测,而且不会影响管理或者系统性能。”Tony Palmer,企业战略集团(ESG)高级认证分析师如是说。

在提高精度和减少误报之间找到最佳的平衡点,显然是深度学习神经网络给予Intercept X最显而易见的价值。

一方面,Sophos Intercept X的深度学习神经网络,由于融入了自身多年积累的经验和知识——通过将实验室研究和数据科学的结合,为用户提供一种可预见的、以往不能被避免的攻击。

“跟汽车一样,以往的安全气囊等都是被动的安全设施;而现在所装备的自适应系统,能够在发现和预见危险的情况下,自动实现减速、停车,甚至变线,这对于驾驶者来讲,就是一种主动的安全设施。”钟明辉,Sophos公司中国大区总经理如是说。

而在Sophos的合作伙伴Networking Technologies and Support Inc.业务运营高级副总裁Mark Brandon看来,Sophos Intercept X的深度学习模型可在已知和未知的恶意软件以及潜在不需要的应用程序(PUA)执行前,无需依靠特征码对其进行检测,这对于解决用户零点漏洞、应对勒索软件的短板,具有极大的价值,是一种非常有益的补充:“2017年的勒索软件让大家最为头痛,我们曾采用传统的端点保护措施尽力去阻止它”,通过将Sophos Intercept X与其他传统的端点保护方案一起安装,“我们就可以立即解决这一问题”。

另一方面,减少误报对于用户也同样具有价值。“误报几乎和实际威胁一样耗费时间。在IT资源有限的情况下,我们希望能够集中精力保证业务高效运营,员工能够有更多的时间去支持业务目标,而不是追风逐影。”Denney Fifield,Strong & Hanni PC公司的技术服务主管的观点代表了绝大多数企业IT运维人员的态度。

在Sophos提供的一项统计数据显示,在保证极高准确率的前提下,通过应用Intercept X产生的误报率,被控制在万分之一以下,与传统安全解决方案的误报率接近(但准确性高于传统安全方案一倍),但明显低于传统算法机器学习解决方案的百分之一误报率。“我们的算法在其中发挥了更大的作用,由于能够从更多维度进行分析和解读,所以Intercept X不再需要签名库来区别可执行文件的安全,而是通过更有价值的行为分析等方式,来发现具有隐患的安全漏洞,所以在保证准确率的前提下,Intercept X能够并不神经质,所以误报率方面同样值得信任。”李黎说。

写在最后

作为一家能够提供防火墙、端点安全和数据安全解决方案的网络安全系统提供商,Intercept X将通过基于云的管理平台Sophos Central进行部署,并能够与任何厂商现有的端点安全软件一同安装,并即刻增加端点保护。“当与Sophos XG防火墙一起使用时,Intercept X引入的同步安全功能将进一步增加保护能力。”接受采访的钟明辉表示,将机器学习等新兴技术应用到与网络安全的各个方面,一定是未来的一个趋势,而且Sophos也有这方面的计划。