微软近日揭露了如何将机器学习应用在自家防毒软件 Windows Defender Antivirus 上,以自动化及多层机器学习架构,缩小新的恶意攻击从出现到被侦测的时间差。 Windows Defender Antivirus 使用倒金字塔分层恶意软件侦测模型),像滤网一层层筛出隐藏的恶意软件,侦测模型第一层为本机端启发式与通用型侦测,接着是元资料机器学习模型、样本分析机器学习模型、引爆式的机器学习模型,然后到最底层的大数据分析。
疑似恶意软件的文档会经过各层把关,每一层所负责侦测档案的特征不同,但多数的恶意软件,在第一层本机端启发式与通用型侦测阶段就会被发现,当经过第一层侦测后,仍存在疑虑时,便往下层移动进行更复杂的分析,越下层的分析便越精确,但是相对,所花的时间也会增加,耗费时间从第一、二层的几毫秒到第三层的数秒,甚至是到第四层大数据分析的数小时。 微软表示,Windows Defender Antivirus 用了许多不同推演算法来侦测恶意软件,有一些是二元分类器,结果便是非0即1,有一些则是多元分类器,做出机率性的结果,像是分类恶意软件、安全文档、可能不需要的应用程式等类型。每一层的机器学习都被训练来侦测不同的程式特征,有些需要负责数百个特征,有些则需要侦测数十万个特征。 |
