神經(jīng)網(wǎng)絡(luò)算法實現(xiàn)行為機器學(xué)習(xí)

1、 心領(lǐng)神會“神經(jīng)網(wǎng)絡(luò)算法”和“行為機器學(xué)習(xí)”神經(jīng)網(wǎng)絡(luò)算法實現(xiàn)行為機器學(xué)習(xí)目錄1. 神經(jīng)網(wǎng)絡(luò)的發(fā)展歷史安全沙箱產(chǎn)品和行為機器學(xué)習(xí)算法安全沙箱產(chǎn)品的效果總結(jié)和展望3神經(jīng)網(wǎng)絡(luò)名字的來源：生物神經(jīng)元模型到M-P模型神經(jīng)元示意圖每個神經(jīng)元都是一個多輸入單輸出的信息處理單元神經(jīng)元輸入分興奮性輸入和抑制性輸入兩種類型神經(jīng)元具有閾值特性神經(jīng)元輸入與空間整合特性輸出間有固定的時滯， 主要取決于突觸延擱忽略時間整合作用和不應(yīng)期神經(jīng)元本身是非時變的，即其突觸時延和突觸強度 均為常數(shù)1943年，基于生物神經(jīng)網(wǎng)絡(luò)的M-P模型誕生：線性非時變-卷積運算-卷積神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)的發(fā)展三代歷程神經(jīng)元和M-P模型單層神經(jīng)網(wǎng)絡(luò)就是

2、感知器Perception可以做線性分類可以做線性回歸不能處理非線性3.兩層神經(jīng)網(wǎng)絡(luò)就是多層感知器MLP層之間全連接網(wǎng)絡(luò)FC引入Sigmoid解決非線性通過BP提升性能Sigmoid導(dǎo)致梯度消失卷積網(wǎng)絡(luò)LeNet誕生4.深度學(xué)習(xí)和神經(jīng)網(wǎng)絡(luò)多層網(wǎng)絡(luò)AutoEncoderReLU函數(shù)解決梯度消失樣本標(biāo)定推動監(jiān)督學(xué)習(xí)CUDA利用GPU運算能力視覺場景適合卷積網(wǎng)絡(luò)Artificial Neural Networks (ANN)Biological Neural Networks45常見的神經(jīng)網(wǎng)絡(luò)Biological Neural NetworksArtificial Neural Networks (

3、ANN)Deep Neural Networks (DNN)Recurrent Neural Network (RNN)Long Short-Term Memory (LSTM)Gated Recurrent Unit (GRU)舉例應(yīng)用最廣的卷積神經(jīng)網(wǎng)絡(luò)Convolutional Neural Network：LeNet-5，局部連接和權(quán)值共享CNN的前面卷積部分看局部特征；后面全連接部分就是MLP看整體安全行業(yè)的卷積網(wǎng)絡(luò)也類似，前面偏安全行業(yè)知識；后面偏數(shù)據(jù)處理。所以需要安全+AI二組專家6APT惡意文件分析的利器：安全沙箱產(chǎn)品介紹方案：用VM直接執(zhí)行樣本，不用再模擬Windows系統(tǒng)和A

4、PI了， 更加真實不再基于Pattern Match的靜態(tài)特征，只看程序最終的物理 行為：文件系統(tǒng)修改；網(wǎng)絡(luò)行為；注冊表；進程行為等， 基于動態(tài)行為的序列來判斷惡意，通過寫行為規(guī)則，解決 特征數(shù)量和質(zhì)量的問題行為就是指API的名稱和參數(shù) CREATEPROCESS LOADLIBRARY REGQUERYVALUE FOPENDIR REGQUERYVALUE%SAMPLE%ntdll.dll HKLM*System*CurrentControlSet*Control*Session C:*Windows*System32 HKLM*System*CurrentControlSet*Contr

5、ol*NlsDNN算法前提：行為編碼，Action-Pattern特征對針對一個API調(diào)用，Action-Pattern Features consists out of two IDs：Action ID，對應(yīng)API的名字Pattern ID，對應(yīng)API具備安全價值最高的參數(shù)Action-Pattern 特征就是: 28_165regcreatekeyAction ID 28hklmsoftwaremicrosoftwindowscurrentversionrunoncePattern ID 165那么，一個惡意軟件的行為序列就是Action-Pattern的數(shù)字序列，比如：28_165,

6、32_34, 3_32, DNN算法的訓(xùn)練流程訓(xùn)練流程Action和Pattern的 編碼規(guī)則文件產(chǎn)生YARA規(guī)則樣本執(zhí)行一次，獲取運行期 動態(tài)行為信息:文件的哈希SHA256樣本是否是惡意，Ground Truth樣本的Metadata，比如路徑和名字獲取Action-Pattern對動態(tài)行為的Normalization 行為過濾多個樣本的報表文件哈希SHA256是否惡意，Ground TruthAction-Pattern特征序列9DNN算法檢測階段流程云端訓(xùn)練好的惡意軟件檢測DNN模型待檢測樣本的真實行為數(shù)字編碼序列二分類：該樣本到底是不是惡意的？多分類：到底是哪種？危害多大？可解釋：威

7、脅可視化，到底威脅在哪里？%SAMPLE%ntdll.dll輸入就是行為數(shù)字化編碼 CREATEPROCESS LOADLIBRARY比如變成：34_45, 65_32，送入DNN模型輸入輸出核心卷積層設(shè)計（實際上有多層卷積）CSV Parser輸入數(shù)據(jù)解析Convolution Layer卷積層Prediction預(yù)測結(jié)果Actions Embedding Layer Action/pattern對的CSV文件參數(shù)： weights參數(shù)： window size, weights, dropout rate, etc. .參數(shù)：window sizePatterns Embedding La

8、yerOutput Layer輸出層參數(shù)： weights要思考問題：安全行業(yè)的數(shù)據(jù)是否適合機器學(xué)習(xí)？是否適合深度學(xué)習(xí)？適合哪種神經(jīng)網(wǎng)絡(luò)？為什么？11DNN一個設(shè)計例子和效果華為第三代沙箱行為深度學(xué)習(xí)的神經(jīng)網(wǎng)絡(luò)設(shè)計深度學(xué)習(xí)算法效果：指出威脅在哪里？ClassificationLearningClass definition多分類總體架構(gòu)Known malwareNew malware引擎1引擎2引擎3引擎4引擎5 Specific classesCleaning, agglomeration101.Generic classesSandbox Sandbox reportsMulti-Labe

9、l- LearningClassification modelSandbox Sandbox reportsMulti-Label- ClassificationGeneric malware family predictions惡意軟件二分類某次測試效果Behavioral rules行為規(guī)則Random Forest隨機森林算法Neural Network深度學(xué)習(xí)多層神經(jīng)網(wǎng)絡(luò)True Positive Rate檢出率(%)74.0795.9388.1597.5094.97False Positive Rate 誤 報率(%)12.527.111.003.581.00Detection Accuracy準(zhǔn)確率(%)77.8295.0597.17樣本約1M. 來自VirusTotal. 10%用于交叉驗證神經(jīng)網(wǎng)絡(luò)比隨機森林有優(yōu)勢病毒家族多分類某次測試效果樣本：50萬個來自VirusTotal，已經(jīng)有家 族標(biāo)定，共200個家族整體正確率：94.31%前137個家族，平均檢出率超過80% 全體樣本覆蓋度：87%結(jié)論：價值已經(jīng)體現(xiàn)，挑戰(zhàn)繼續(xù)存在！DNN在沙箱