命名说明
SAVE 的全称是 Sangfor AI-based Vanguard Engine,中文名是“SAVE 安全智能检测引擎”在海外叫做 Sangfor Engine Zero。
核心优势
SAVE(Sangfor AI-based Vanguard Engine)是由深信服创新研究院的博士团队联合 EDR 产品的安全专家,以及安全云脑的大数据运营专家,共同打造的人工智能恶意文件检测引擎。该引擎利用深度学习技术对数亿维的原始特征进行分析和综合,结合安全专家的领域知识, 最终挑选了数千维最有效的高维特征进行恶意文件的鉴定。相比基于病毒特征库的传统检测引 擎,SAVE 的核心优势有:
AI 在 SAVE 中的应用:SAVE 引擎基于机器学习算法从海量样本集合中筛选出可用特征,并评估各个备选特征对各类恶意文件判别能力,筛选出最有效的特征集合。对于所 选特征,我们选择合理的向量表示方法。通过统计学习中的多种降维方法,在保证信息 损耗最小的同时,将所选特征集合的向量表示从数十万维压缩到数千维。最后我们通过 集成学习算法组合多个分类器,构建模型和评分系统,以实现对已知和未知恶意文件的检测。 通过云端上亿级的黑白样本对检测模型进行持续的训练、改进、优化形成强大的模型,实现对未知威胁的精确识别。
基于 AI 的检测流程描述: 首先,SAVE 会从文件的头、节、资源和签名等多个部分提取信息,作为判别输入。对于提取出来的原始信息,SAVE 通过多种向量降维方法(词向量嵌入,主成分分析等)提取出信息量丰富、类间界限明显的向量化特征。基于特征向量,SAVE 使用多种分类算法(随机森林,神经网络,支持向量机等)进行鉴定。最后,综合评分系统整合各模型检测结果,综合判断文件是黑文件、白文件或者灰文件。对于无法在本地检测的文件,在符合相关法律法规的前提下,SAVE 引擎将上报信息到云端进行云查,由于云端部署了检测能力更强同时需要更多计算资源的检测引擎,可以对文件进行更深入的分析,做出准确判断。同时,SAVE 引擎在云端(安全云脑)也会持续演进,包括特征提取、检测模型更新等,然后通过升级服务下发最新检测模型到终端或者设备上,以不断提升本地检测的能力。
发现后,处理动作可以配置管理员告警通知。
该测试会通过真实的最新的一批 globelmposter2.0/3.0 勒索病毒样本(病毒样本已包含在工具包里)进行。所以需要谨慎操作,一旦执行,将会导致电脑文件加密,目前无法恢复。目前把样本的.exe 后缀改为.sys,防止误执行。而后续的操作,有条件下,都需要在虚拟机里进行。
AC 默认支持以下文件类型杀毒:
搭建拓扑,具体用户现场的拓扑可以根据条件自行搭建。 例如路由模式:外网 PC 虚拟机--AC--测试 PC
http 下载:勒索病毒下载源的主机上,搭建一个 hfs(工具已包含在工具包里) 的服务器。
POP3/IMAP 发邮件:安装 foxmail 客户端,导入一个非加密的邮箱账号,发送带有病毒文件的邮件。举例。
发送 POP3/IMAP 邮件携带病毒:
或通过 http 下载携带病毒的文件,发现后,客户端重定向:
设备【安全状态】风险用户:
设备【安全状态】安全事件:
日志中心--【上网安全】--有 SAVE 杀毒详细日志记录
Q1:SAVE 和传统杀毒软件的比较
传统技术有:MD5,脚本,虚拟执行,沙箱。从前到后在理论上的检测能力依次变好,但是性能依次下降,资源开销也依次变大。SAVE 的优势是有着接近 MD5 匹配的近线性的扫描速
度。同时,得益于机器学习的泛化能力,SAVE 能够识别未知病毒或者已知病毒的新变种。更进一步地,在资源开销方面,SAVE 只占用 200MB 以下的内存,比已知所有传统引擎都要小。
Q2:为什么脚本引擎会比较慢,以及其相对于 MD5 检测技术的好处
MD5 的方案最大的问题在于一个 MD5 只能表征一个恶意文件,只要稍微进行一点点的修改就不能够检出,即泛化能力为零。为了解决这一问题,研究人员设计了一些脚本语言,通过允许恶意软件分析人员写一些识别脚本来检测病毒。这些脚本可能只是抓病毒中关键的某一部分的内容,因此如果恶意软件的变种没有修改这一关键部分的话就可以抓住这些变种。因此提升了一些的泛化能力。
具体来说,脚本引擎可能会使用的特征包括 :1)某一个特定节的 MD5;2)某一小段字符串;3)信息熵值的计算等等。总的来说就是这一类引擎仅仅是一个类似正则匹配引擎的东西,具体特征还是得病毒分析师去写。如果某一类病毒具有某种特别固定的特征的话就可以一条规则匹配一类病毒,但是完全取决于规则写的好坏。
性能方面,MD5 只需要计算一次就可以了。相对的,规则引擎在计算 MD5 的基础上还会需要根据分析师写的规则去做一些正则匹配,熵值计算,每节各自的 MD5 之类的计算,因此效率较差。同时,和 MD5 只要计算一次然后在特征库里匹配不同,脚本引擎每多一条规则就会增加一些计算量,因此规则库越大性能越差。
Q3:虚拟执行和沙箱的区别
虚拟执行一般是通过指令虚拟机来实现的,它是通过软件来模拟常用 CPU 指令、操作系统仿真环境来实现的,是一种轻量级的解决方案,被广泛用于杀毒软件的脱壳、病毒行为的提取等。目前沙箱主要是采用成熟虚拟化技术(Intel、AMD 提供的 CPU、IO 虚拟化驱动)承载的虚拟机来实现的,技术路线主要是虚拟机加上应用层、内核层的各种 hook 技术,从这个角度看,沙箱具有完整的 CPU 特性、可以无差别的运行各种操作系统,和物理硬件几乎没有差别。
综上来看,虚拟执行相对沙箱主要有如下缺点和不足:
Q4:SAVE 和其它 AI 引擎的比较
SAVE 引擎主要有几大优势。第一,优质的数据来源。通过安全云脑、EDR 和 AF 等产品持续汇聚分析热门数据,SAVE 引擎能够及时演进,从而提升检测能力,并覆盖最新的病毒。第二,创新的算法设计。SAVE 引擎结合深度学习等多种机器学习算法,使用集成学习充分利用各个算法的检测优势。第三,精细的特征工程。通过自研的特征提取算法和特征向量设计,我们的引擎能快速、准确捕捉文件的有效信息,因此我们可以用轻量化引擎快速识别病毒。第四,高出同行的勒索病毒检出率。基于对勒索病毒的深刻理解和深厚的算法积累,我们的引擎对于勒索病毒有很好的检测效果,实际测试结果表明,SAVE 引擎对勒索病毒的检出率达到业界领先水平。
Q5: 基于 AI 的杀毒引擎 vs 传统杀毒引擎对比
AI 引擎的主要优势有以下几点,特别是前两点。
|
|
|
病毒专家人工提取病毒指纹、特征码,不仅 成本高,而且有很大的滞后性,可能导致病 毒出现很久了,传统杀毒厂商才能够更新病 毒库 |
|
| 频繁的应急响应 |
|
| 不断膨胀的规则库 |
|
Q6、 SAVE 如何与云端(安全云脑)联动
Q7: 病毒类别与不同的传播途径和方式说明
深信服公司对计算机病毒分类采用如下规则。
建议使用Chrome浏览器访问!
