AI數位戰警:利用人工智慧網路掃黑

men s hands handcuffed on a laptop cybersecurity law concept

前言

  網路世界充滿危險,不僅企業受害,政府也難以防範。台灣軟體聯盟曾公布調查報告,全球企業因惡意程式受損,每年損失超過十兆新台幣。去年五月底,美國資安公司「Cyble Inc」揭露駭客在暗網販售「臺灣全國戶政登記資料庫」,涉及超過兩千萬筆台灣民眾個資。為因應駭客攻擊,臺灣大學電機工程學系教授林宗男率領團隊,開發出一套「AI Cyber Security」(人工智慧網路安全)系統,能夠偵測Android和Windows系統中的惡意程式,並展開全面的網路掃黑行動。 

抓出惡意程式的AI網路安全系統

  林宗男教授領導的研究團隊致力於發展國家級網路防禦系統,透過AI網路安全系統來彰顯國家實力。該系統亦希望成為各國企業與政府在數位世界中的最佳防禦工具。研究團隊使用CNN(Convolutional Neural Networks,卷積神經網路模型,以訓練AI對Android和Windows系統上是否存在惡意程式進行偵測。 

Windows 與 Android 的惡意程式偵測

  為了遏止惡意程式的執行,研究團隊提出了「圖像轉換」方法,此方法可將下載的執行檔案轉換成圖像檔案,並透過模型判斷其是否具備惡意特徵。如果模型判斷機率太高,即可避免執行造成危害。透過僅檢視圖像結構,使得偵測模型避免受到感染的風險。林宗男教授強調,這是確保網路安全的第一道防線。

1 2
(圖一)偵測是否為惡意程式之方法

  經過驗證,林宗男教授帶領的研究團隊開發的Windows惡意軟體偵測系統在成功率和準確率方面均達到88.9%,超越全球圖形處理器領導廠商NVIDIA所發表的AI惡意軟體偵測技術7.2% 

  相較於Windows偵測系統的獨立開發,林宗男教授帶領的團隊與日本NICT(情報通信研究機構)合作研發Android惡意軟體偵測系統,並利用他們所提出的新演算法,將NICT開發的AI惡意軟體偵測系統的抓駭效率92%提升到96.2% 

  Android惡意程式的偵測方法為:研究團隊利用反混淆技術,取出已知惡意程式的可執行特徵,加入新的特徵,然後利用AI演算法處理這些特徵,以判斷Android程式是否為惡意軟體。

2 2
(圖二)Android系統惡意程式偵測

透過機器學習,分析暗網流量

  為了洞悉駭客行為的特徵,研究團隊運用暗網來源進行情報收集,分析駭客的行為特徵。對於研究追蹤技術的學者而言,觀察駭客在暗網下的活動是一個重要的情報來源。該團隊透過AI分析已知惡意程式的網路行為特徵,並依據側錄收集到的暗網流量和行為模式,找出駭客經常使用的路徑。研究結果顯示,將暗網流量進行善惡分類的辨識率高達99.6%,且遠超加拿大研究團隊的81.6%。對於網路服務供應商而言,如果能夠清晰地區分暗網流量的類別,就可以避免將可能未受惡意攻擊的影音串流全部導入入侵檢測系統(IDS)的資安偵測中,有效節省資源。

3 1
(圖三)暗網流量類型分類

惡意流量偵測,鞏固第 2 道防線

  研究團隊進行了包括勒索軟體 WannaCry 在內的 10 種惡意程式的惡意流量偵測演練,此為第 2 道防線。惡意流量的出現已經代表電腦已受到感染,我們的目標是盡可能縮短偵測時間。CISCO思科的商用偵測系統已達到 97.7% 的精確度,然而研究團隊進一步提升了 0.3% 的精確度,展現出不斷追求更好的信念,為網路安全帶來更高層次的保障。

4 1
(圖四)惡意流量偵測

結論

  由林宗男教授實驗室研究團隊開發的AI Cyber Security具有高精度的惡意程式偵測能力,並能夠在短時間內識別感染電腦的惡意流量來源。此外,該系統能更精確地區分網路連線是否為惡意流量,減少不必要的資安偵測資源浪費,進而提供政府更精確有效的資安保障。 

參考

Scroll to Top