【今天愚人节，但是，我不愚人】大爆料，MMPC将创建智能沙盒技术【智能沙盒大联盟？】

驭龙

今天虽然是愚人节，但今天我不愚人，而是放猛料。

爆料来了。这是第一波，MMPC的项目经理跟合作伙伴提出智能沙盒计划。

第二波在5楼，已置顶。

Creating an intelligent “sandbox” for coordinated malware eradication

Antimalware companies have for some time used machine learning and big data analysis to detect and disrupt malware. For example, the Microsoft Malware Protection Center’s (MMPC) machine learning systems analyze more than 30 million different file samples each month to help researchers spot new malware.

But to move from disruption to eradication, the antimalware ecosystem must work with new types of partners in different ways. Dennis Batchelder, MMPC Partner Group Program Manager, provides an update on a proposal to create a “sandbox” where security experts can work together toward this goal.

大谷歌的机器翻译：

创建一个智能的“沙箱”的协调根除恶意软件

反恶意软件公司有一段时间使用机器学习和大数据分析来检测和破坏的恶意软件。例如，微软恶意软件保护中心的（MMPC）的机器学习系统进行分析超过三千万种不同的文件样本，每月以帮助研究人员发现新的恶意软件。

但移动从中断根除，反恶意软件的生态系统必须使用新的类型以不同的方式合作伙伴。丹尼斯巴彻尔德，MMPC合作伙伴集团项目经理，提供了创建一个“沙盒”，其中安全专家能够共同努力实现这一目标的建议的更新。

驭龙

大家好！我目前正在中国北京举行的 2014 PCSL 信息安全技术年会上倡议协调根除恶意软件。

协调根除恶意软件也是我的上一篇文章主题。我当时就说，如果我们要摆脱当前各自为政而遭受恶意软件侵害的状态，转向协调根除恶意软件，反恶意软件生态系统就必须开始新型合作伙伴合作。从那以后，我们一直在世界各地举行的会议上谈论这些观点，包括在美国旧金山举行的 RSA 年会、在新加坡举行的数字犯罪联盟会议以及在中华台北举行的科技展暨亚太信息安全论坛。反恶意软件生态系统的参与度一直以来都很高。安全与防病毒 (AV) 供应商、服务提供商、计算机紧急响应小组 (CERT)、反欺诈部门以及执法部门全都加入商讨，提出有关监管、沟通渠道和益处等方面的重要问题。

这些讨论的总主题集中在以下方面：我们如何能够利用我们所掌握的信息并采用新方式将这些信息联系起来，该主题还涉及到云中的机器学习和海量数据分析。相信这是加快我们根除恶意软件工作进展的最有效方式。这就引出下一个问题：如何创建一个智能“沙盒”来实现这一点？

一段时间以来，反恶意软件公司已经在应用机器学习和海量数据分析，以便更快地生成更多恶意软件检测结果。机器学习就是对机器进行训练，从大量标记信息流中找出信号模式，然后对未来数据使用这些模式，同时利用反馈不断提高准确性。标签越强，信息越多样，机器就变得越有效。

机器学习与人类学习类似。例如，当初学走路的孩子看动物时，起先感觉似乎所有动物都一样。然后他们学习区分狗和猫。很快他们也能分辨狮子狗和寻回犬了。必要时我们会对他们进行纠正，重复多次后，他们不久就开始寻找更高效的识别模式。如果用机器学习的术语来描述，就是使用标记信息对初学走路的孩子进行训练。他们从看到的动物中提取信号模式，然后对看到的新动物应用这些模式。

人类直观而自然地执行此过程，而机器需要复杂的算法并通过庞大的数据集进行训练。目前在反恶意软件业务中有三种主要机器学习信号源：遇到的恶意软件威胁中自愿选择加入的遥测数据、对恶意文件的分析以及我们的合作伙伴提供的恶意软件信号。

为了帮助大家了解我所谈论的数据量和规模，下面举一个例子：恶意软件保护中心 (MMPC) 机器学习系统每月分析 3000 多万不同的文件样本，并将此信息与我们对关联的文件、网络和使用模式所了解的做相关分析。我们的系统对文件样本进行分类，然后自动为那些标识为恶意软件生成特征检测并发行。信号管���巨大，因此我们可以快速发现新的恶意软件。当我们将此信息与我们的内部 AV 研究人员分析的结果相结合时，我们的机器就会更智能，我们的客户也就获得更大的保护。

我们还将机器学习先进技术与云配合使用。例如，我们自动识别显示出预警恶意模式的文件。基于云的机器将该恶意行为与用于确定 AV 软件是否应该进行干预以进行阻止的特定软件的声誉相关，比客户端计算机执行检查时更快、更好且更高效。在许多情况下，即使在提供检测签名之前，我们也能够保护客户端。

虽然机器学习已经对恶意软件保护做出了巨大的贡献，但是我相信，除非我们确定如何识别特定攻击者，以及如何在指定的恶意软件系列的整个生命周期内对其恶意活动进行跟踪，否则就不能全面根除恶意软件系列。AV 行业需要了解特定恶意软件系列是如何开发和分发的、如何控制的、如何响应变化的以及如何获利的。

要回答这些问题，除了遥测、分析以及传统安全供应商合作伙伴提供的信号类型之外，我们需要机器将更多信息相关。这时就需要协调根除恶意软件合作关系。通过合作以及将信号相关，我们可以从更高的层次看问题并发现瓶颈所在，这正是恶意软件编写者的弱点。


下一个问题是如何实现此目标。正如我前面所说，我们需要一个足够大的“沙盒”，这样各个业内合作伙伴就可以提供各种信号并部署他们的机器学习和分析工具。除了遥测和分析数据之外，微软还可以提供大量基于云的可伸缩存储和计算能力，其中内置了必要的海量数据分析工具。我们的合作伙伴可以提供新的信息信号、强标签以及他们自己的工具，以便更好地对所有机器进行训练。

以典型的点击欺诈攻击为例，广告网络可以看到被滥用的 URL、所用的银行帐户以及所涉网站。CERT 或 ISP 可以看到命令和控制系统的某些部分，例如 URL、所提供的文件、域注册机构等。AV 供应商可以看到客户端代码及其使用的 URL。如果不进行合作，任何一方都无法了解有关攻击的全部信息。但是进行合作之后，就非常容易找出相关性（至少在此示例中如此）。


如此大规模地对紧密相关的信号应用机器学习，意味着我们可以应对攻击。希望这会让坏人无处可逃。
这样，我们就能够整个行业联合起来，打击恶意软件作者及其供应链，并阻止他们企图捣鬼和窃取客户
资料。

huzhi1980

期待中。。。

sogou2004

做系统虽易，做win8不易，且行且珍惜

feelingdld23

sogou2004 发表于 2014-4-1 09:49
做系统虽易，做win8不易，且行且珍惜

好文章。

HEMM

没看懂，是给未上市的新系统弄得还是给MA系列添加的？

驭龙

HEMM 发表于 2014-4-1 10:47
没看懂，是给未上市的新系统弄得还是给MA系列添加的？

好像不是，似乎是建立一个共享的可疑行为分析机制吧，我还没用仔细看文章，工作中。

我也希望在客户端中加入沙盒，就是不知Microsoft会不会那么做

Miostartos

这。。。微软的MVM引擎要开发了》？

驭龙

STCn1000 发表于 2014-4-1 11:46
这。。。微软的MVM引擎要开发了》？

似乎或许好像是云端的沙盒共享信息，不知道客户端会不会得到这个高级待遇

Miostartos

驭龙 发表于 2014-4-1 11:56
似乎或许好像是云端的沙盒共享信息，不知道客户端会不会得到这个高级待遇

要是客户端有肯定赞啊