人工智慧如何阻止勒索軟體？

E安全7月4日訊 僅僅六周的時間，全球經歷了兩起大規模勒索軟體攻擊：WannaCry與NotPetya。在這期間，令黑客氣焰高漲的是，勒索軟體Erebus向韓國網路託管公司Nayana成功勒索683萬元。

從目前的威脅形勢來看，全球需要更好的防禦措施，所幸的是，目前這種防禦措施將開始出現。當這些措施實現時，也許人們要感謝人工智慧給全球帶來的福音。

雖然勒索軟體的誘騙性和危險性不及其它惡意軟體，但可能會進一步惡化，或帶來毀滅性。

儘管面臨如此嚴峻的網路威脅格局，許多人仍未養成更新安全軟體的好習慣。最近這兩起大規模勒索軟體攻擊給了這類人重重一擊，人們愈發認識到安裝Windows更新的重要性。

NotPetya來襲，安全軟體幾乎全軍覆沒

安全研究人員表示，監控安全軟體也存在問題。NotPetya來襲時，在測試的60個安全軟體中，只有2個安全軟體在第一時間檢測到了這款勒索軟體。

加利福尼亞安全公司Proofpoint.賴安·卡萊博表示，大量常規的應用程序，尤其Windows上的應用程序，運作方式就像惡意軟體，因此難以區分。

如何揪出惡意軟體？

在早期，可以將惡意程序（例如病毒）的代碼與已知惡意軟體資料庫進行對比，但新型惡意軟體變種可能會輕易溜走。

因此，安全公司開始根據惡意軟體的行為研究其中的特點。勒索軟體可能會加密文件嘗試多次將其鎖定，但這種行為可能會被標記為普通的計算機行為，例如文件壓縮。

紐西蘭安全公司Emsisoft的首席技術官富賓恩·瓦沙瑞表示，新型技術包括尋找行為的組合方式。例如，開始加密文件，未在屏幕顯示進度條的程序可能會被標記為秘密活動，但同時也可能會帶來風險，導致某些文件被鎖定之後才成功識別惡意軟體。

使用惡意意圖相關的顯著特徵辨識惡意軟體不失為一個更有效的方法，例如，隔離偽裝成PDF圖標隱藏真實身份的程序。

這類惡意軟體的分析不依賴確切的代碼匹配，因此不能輕易逃避。在潛在危險的程序運行之前執行此類檢查較好。

兩三個特徵可能無法正確辨識惡意軟體與合法軟體，那麼幾十個、幾百個、甚至幾千個特徵會如何？

對此，安全研究人員轉向了機器學習（屬於人工智慧的一種方式）。安全系統分析合法軟體和惡意軟體的樣本，並找出惡意軟體中可能出現的因素。

當遇到新軟體時，系統會計算惡意軟體存在的可能性，並拒絕未達到特定門檻分值的軟體。當某些惡意軟體順利逃過檢測，那就關乎計算或調整門檻。由此，研究人員發現一種教授機器的新行為。

惡意攻擊者與防禦者的競賽

另一方面，惡意軟體開發人員可以獲取這些安全工具，並調整代碼尋求規避檢測的突破口。一些網站已經可以測試軟體是否能夠繞過領先的安全系統，而惡意軟體開發人員可能會開始創建自己的機器學習模式，以擊敗專註安全的人工智慧。

加利福尼亞安全公司CrowdStrike的創始人兼首席技術官德米特里·阿爾普洛維奇表示，即使一個特定的系統提供99%的保護，但有多少次能規避攻擊的剩下1%只是數學問題。

不過，採用機器學習的安全公司聲稱，已經在阻止大多數惡意軟體（不止是勒索軟體）方面取得成功。安全公司SentinelOne甚至為阻止勒索軟體提供了100萬美元的擔保金，目前該公司還未支付過這筆錢。