2022年年末,ChatGPT以其突破性的功能和應(yīng)用,徹底重塑了人工智能的格局,為智能化時代的到來注入了新的活力。然而,瑞星公司以卓越的前瞻性和創(chuàng)新精神,早已將人工智能技術(shù)融入到惡意代碼檢測引擎和后端運(yùn)營系統(tǒng)的核心中。
今天,瑞星安全研究院院長葉超將為我們深入解讀瑞星是如何緊跟AI技術(shù)的發(fā)展,將前沿科技轉(zhuǎn)化為實(shí)際應(yīng)用,來提升網(wǎng)絡(luò)安全防護(hù)能力和效率的。
瑞星小獅子:
瑞星從什么時候開始應(yīng)用AI技術(shù)?
葉超:
大概從2008年左右開始探索使用機(jī)器學(xué)習(xí)對惡意軟件進(jìn)行家族分類,提高內(nèi)部運(yùn)營工作效率。后續(xù)逐步將應(yīng)用方向調(diào)整為惡意代碼的黑白鑒定,研發(fā)終端可用的人工智能引擎。
瑞星小獅子:
瑞星應(yīng)用了哪些AI技術(shù)?
葉超:
到目前為止,瑞星主要使用了專家系統(tǒng)、機(jī)器學(xué)習(xí)、向量檢索、大語言模型等人工智能技術(shù)。
瑞星小獅子:
瑞星為什么要應(yīng)用AI技術(shù)?
葉超:
一是解決惡意軟件數(shù)量和人工運(yùn)營效率的矛盾。由于全球惡意軟件數(shù)量爆發(fā)式增長,傳統(tǒng)人工運(yùn)營的方式無法滿足快速響應(yīng)、24小時不間斷響應(yīng)的需求,因此通過人工智能技術(shù),可實(shí)現(xiàn)無人化、持續(xù)性的運(yùn)營。
二是解決惡意軟件對抗技術(shù)和傳統(tǒng)檢測技術(shù)的矛盾。大量的惡意軟件采用對抗技術(shù)來躲避檢測,并且這種手段是自動化的,無時無刻不在產(chǎn)生“新病毒”,傳統(tǒng)特征碼檢測技術(shù)根本無法應(yīng)對這樣的局面。所以瑞星作為安全廠商必須采取更高階的技術(shù)手段來對抗這樣的病毒發(fā)展趨勢。
瑞星小獅子:
瑞星通過應(yīng)用AI技術(shù)做出了哪些成果?
葉超:
瑞星在行業(yè)方向上使用人工智能技術(shù)主要包含以下幾個方面:
一、使用機(jī)器學(xué)習(xí)識別惡意軟件
我們通過精細(xì)化的特征工程以及海量歷史樣本的學(xué)習(xí),讓模型具備識別大部分惡意軟件的能力。這方面瑞星的探索歷程大致是:
2013年前后,開始積極使用機(jī)器學(xué)習(xí)技術(shù)來檢測惡意軟件。完成了惡意 WinPE、惡意Flash、惡意PDF的特征工程、模型訓(xùn)練和發(fā)布。但針對惡意WinPE的模型由于誤報(bào)率沒有控制到理想范圍內(nèi),在進(jìn)行了實(shí)驗(yàn)性發(fā)布后,便進(jìn)入了重制階段。
經(jīng)過特征工程重構(gòu)、持續(xù)性訓(xùn)練和觀察后,瑞星于2017年前后,重新發(fā)布了針對惡意WinPE的模型,這次重構(gòu)將誤報(bào)率控制到了理想范圍內(nèi),并對檢測對抗手法進(jìn)行了針對性處理。
后續(xù)的幾年,我們陸續(xù)發(fā)布了針對Office宏病毒、Excel公式病毒、惡意DotNet程序的機(jī)器學(xué)習(xí)檢測模型。
二、基于向量相似度的惡意軟件快速檢索和聚類
在特征工程對目標(biāo)惡意軟件進(jìn)行向量化的基礎(chǔ)上,我們使用向量數(shù)據(jù)庫管理惡意軟件簇。在此基礎(chǔ)上實(shí)現(xiàn)了基于KNN算法的惡意軟件家族聚類,以及基于相似度比較的惡意軟件精確檢測。
依托于此技術(shù),瑞星的云端人工智能引擎不僅可以快速判斷“黑白”,還能給出惡意軟件家族和近似樣本列表。
三、基于大語言模型的惡意代碼分析
大語言模型在惡意代碼分析方面表現(xiàn)出了強(qiáng)大的能力,在對文本類代碼的解讀能力方面超越了大多數(shù)人類。所以,從2023年開始,瑞星使用大模型(GPT3.5級別)對腳本類的惡意軟件進(jìn)行自動化鑒定,實(shí)現(xiàn)了腳本類惡意代碼運(yùn)行方向上的降本增效。
四、其他方面
針對"圖標(biāo)偽裝"類的惡意軟件,使用計(jì)算機(jī)視覺相關(guān)的技術(shù)。
使用馬爾可夫模型檢測隨機(jī)字符串,解決代碼混淆、動態(tài)域名等問題。
使用MinHash/LSH解決海量相似內(nèi)容的快速檢索。
瑞星小獅子:
未來瑞星要做哪些AI方面的工作?
葉超:
一是繼續(xù)使用機(jī)器學(xué)習(xí)技術(shù),迭代升級惡意軟件檢測能力,尤其是在特征工程上做更多的探索。
二是積極使用大模型識別惡意代碼。充分利用大模型提供的代碼解讀、代碼嵌入能力,重新構(gòu)建我們的自動化運(yùn)營后端。
三是研究創(chuàng)建瑞星虛擬分析員。將大模型和我們業(yè)務(wù)系統(tǒng)深度結(jié)合,將大部分日常工作轉(zhuǎn)交給虛擬分析員完成,例如:樣本黑白標(biāo)注、檢測特征提取、威脅情報(bào)運(yùn)營等。
通過葉院長的解讀,能夠深入了解瑞星在AI領(lǐng)域的發(fā)展歷程及未來規(guī)劃。從機(jī)器學(xué)習(xí)到大語言模型,再到虛擬分析員的構(gòu)想,瑞星憑借堅(jiān)實(shí)的技術(shù)基礎(chǔ)和不斷進(jìn)取的態(tài)度,緊跟著AI技術(shù)的發(fā)展,致力于通過持續(xù)創(chuàng)新,為用戶提供更加安全、智能的網(wǎng)絡(luò)環(huán)境。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )