Signatur-løst antivirus-startup vil erobre Europa med machine learning

8 kommentarer.  Hop til debatten
Cylance har udviklet et anti-malwaresystem, som fungerer uden signaturfil og kan fungere offline. Foreløbigt bliver algoritmerne bag programmet kun opdateret hvert halve år.
person
Jakob Møllerhøj
journalist
12. november 2015 kl. 10:02
errorÆldre end 30 dage
person
Jakob Møllerhøj
journalist
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Du har hørt det før. Proaktiv anti-virus med heuristics og andre teknologier, der skal kunne stoppe skadelig kode, selvom koden er helt ny og ukendt.

Bestemt en ønskværdig egenskab i en verden, hvor ny malware og varianter af kendt malware vælter frem og dermed giver den gamle signatur-baserede detektion, der jo skal holdes løbende opdateret for at fungere, kamp til stregen.

Trods løfter om moderne detektionsmekanismer er det dog de færreste ant-virusprogrammer, der helt har droppet signatur-detekteringen på klienten. Det har amerikanske og i en europæisk sammenhæng relativt ukendte Cylance imidlertid gjort.

Virksomhedens software, CylanceProtect, er således blottet for signaturfiler - i stedet baserer programmet sig på machine learning i både cloud og i en lokal fil på klienten.

Artiklen fortsætter efter annoncen

Den grundlæggende byggesten er, at ondartet kode har programmeringsmæssige og adfærdsmæssige karaktaristika, som skiller den ud fra godartet kode. Og dermed er forudsætningen for Cylances forretning en tese om, at det generelt set er muligt at identificere den ondartede kode, også selvom programmet ikke har set et konkret stykke malware før.

Det fortalte og demonstrerede vicepresident for product marketing Bryan Gale og director for sales engineering Grant Moerschel om til en mindre skare af journalsiter under en præsentation i forbindelse med den aktuelle sikkerhedsmesse Blackhat i Amsterdam.

Cylances machine learning-algoritmer kører i Amazons sky-tjeneste, hvor de regner på, hvad der kendetegner 300 mio. stykker ondsindet software og 300 mio. stykker godartet software. Sådan et gennemlæringsforløb tager ca. 20 dage.

Algoritmer inspicerer kode

Ideen med machine learning kommer angiveligt fra virksomhedens stifter, Stuart McClure, der har holdt sin egen computer virus-fri, ikke ved at bruge antivirus, men ved at bruge sin sunde fornuft og generelle viden om it-sikkerhed fra blandt andet en fortid i McAfee.

Artiklen fortsætter efter annoncen

Jobs

Tilpas personaliserede job
Vis alle

Den overordnede menneskelige tilgang med eksempelvis at lade være med at klikke på filer, du uventet modtager, lade være med at køre usigneret kode etc. har Cylance brugt som udgangspunktet for machine learning-algoritmerne - som dog kører på et langt mere detaljeret niveau end de førnævnte eksempler.

»Vi ville gerne finde en anden tilgang og en anden måde at gøre tingene på,« fortæller Bryan Gale.

Systemet er skruet sådan sammen, at der lokalt på klienten ligger det, han kalder en distilleret fil baseret på de algoritmer, skytjenesten arbejder ud fra.

Så hvis klienten er offline, uddyber Grant Moerschel, så kan den stadig, med en rimelig stor sandsynlighed forudsige, hvorvidt kode er god eller ond, når det bliver eksekveret på klienten.

Klienten indeholder en fil, der i skrivende stund er på ca. 130 megabyte. Det kunne måske lyde som en signaturfil, men det bliver blankt afvist af Bryan Gale.

Han beskriver den som en fil fyldt med algoritmer, der inspicerer den kode, der bliver kørt på klienten. På den baggrund bliver der foretaget en statistisk vurdering til at sige, om koden er ondsindet og godartet.

I udgangspunktet bliver al malware først inspiceret af den lokale kode; herefter henvender klienten sig til skyen - hvis der er online-forbindelse - og så sker det i ny og næ, at skyen vender tommelfingeren op eller ned i forhold til, om et program er godt eller ondt. Men har afgørelsen fra algoritmerne i skyen ikke indflydelse på det endelige resultat.

»Der kan være en lille forskel. Måske én procent af gangene kan det være, at cloud-modellen omgør en afgørelse, som den lokale model er nået frem til,« siger Grant Moerschel.

Test på virtuelle maskiner

For at give de fremmødte journalister syn for sagn kører Grant Moerschel et par test på virtuelle maskiner, hvor den ene har installeret Cylances program, mens den anden har installeret et mere etableret produkt fra en antivirusproducent. Testen kalder virksomheden for sin 'Unbelievable Demo Tour'.

Den konkrete test foregår på et par virtuelle og opdaterede Windows 7-maskiner ved at hente 100 stykker malware fra en unavngiven kilde.

Malwaren bliver kørt en ad gangen via en for-løkke i en kommandoprompt på begge maskiner. Normalt er der flere traditionelle anti-malware-produkter og flere virtuelle maskiner involveret, når testen kører på en større hardware. Ligesom Cylance gerne skifter ud i de produkter, de tester deres løsning op imod, bedyrer folkene fra Cylance.

For ikke at gøre det for let er al malwaren ompakket via et program, som Grant Moerschel ikke ønsker at opgive navnet på.

Ideen med at ompakke malwaren er, at signaturen for filerne bliver ændret, og dermed risikerer den traditionelle signatur-baserede detekteringsmekanisme at fejle.

Maskinen med det traditionelle anti-malware misser nu en stor del af den ompakkede malware, mens cpu'en på maskinen kører på 100 pct. Og da der er tale om rigtig malware, popper underligere ting også op på maskinen, blandt andet noget, der ligner et vindue til et tvivlsom web-butik.

På den virtuelle maskine med Cylances produkt ligger cpu'en på omkring 2 pct, mens hukommelsesforbruget for den største kørende proces sniger sig op på omkring 60 megabyte.

Stort set al malwaren, der er frisk hentet fra nettet, ser ud til at blive fanget af Cylance-løsningen.

En af de tilstedeværende journalister spørger, hvordan systemet vil klare sig offline, og Grant Moerschel afkobler de virtuelle maskiner fra internettet. Dermed er det kun den lokale kode, der fanger malwaren. Og det ser den fortsat ud til at gøre under en ny kørsel, nu uden adgang til internettet.

Den ca. 130 megabyte store fil lokalt på klienten, mens offline-detektionen foregår, er senest opdateret i maj måned, viser Grant Moerschel. den er altså ca. seks måneder gammel, mens malwaren, den bliver holdt op imod, er hentet ned for to dage siden. Folkene fra Cylance vil ikke sige, hvorfra malwaren er hentet, men den skulle være frisk.

»Den lokale model omfatter, hvordan det meste software er skrevet - mens cloud-modellen er endnu større, og den indeholder flere modeller,« siger Grant Moerschel.

Mindre lokal-fil

Det kunne måske være nærliggende, at den lokale fil, der lige nu er på ca. 130 megabyte, og som gør, at systemet fungerer offline, ville vokse i takt med, at mængden af malware vokser.

Men sådan er det ikke, fortæller Grant Moerschel. Faktisk er filen blevet mindre under den seneste machine learning-iteration, hvor virksomhedens udviklere - de er mere matematikere end programmører - har fintunet algoritmerne bag.

»Fordi vore datavidenskabsfolk, der varetager modellen, har foretaget ændringer i forhold til, hvad de mener er statistisk relevant som output, så har de skrumpet modellen,« siger han.

Bryan Gale beskriver den lokale fil som en serie af matematiske ligninger, koden på klienten bliver løbet igennem i forhold til, om noget stikker uden for de normer, godartet kode burde holde sig inden for.

I udgangspunktet deler det meste ondsindede kode nemlig karakteristika, forklarer han. Og derfor behøver filen heller ikke blive opdateret særligt ofte. Men algoritmerne i skyen tilpasser sig løbende, også i forhold til ny programmering

»Vi lærer konstant at beskytte mod nye programmeringsteknikker, som vi ikke kender til, men det sker ikke så ofte,« siger Bryan Gale.

Flere af de ansatte i Cylance har en fortid McAfee. Cylance har på nuværende tidspunkt ca. 250 ansatte på verdensplan, og virksomheden er ved at bevæge sig ind på det europæiske marked via blandt andet Storbritannien og Irland.

Foreløbig findes produktet ikke til private, men det bliver der arbejdet på, forklarer Gale og Moerschel, ligesom virksomheden også har kig på at tilpasse deres nuværende Windows-software til blandt andet Android-platformen.

Den nuværende pris for produktet til virksomheder ønsker folkene fra Cylance ikke at oplyse.

Version2 er inviteret til Amsterdam og Blackhat af Cylance.

8 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
8
Jakob Møllerhøj
13. november 2015 kl. 12:13

Jeg skal ikke kunne udtale mig om Bitdefenders løsning. Du har helt ret i at Immunet ikke er en signaturfri løsning, men alle signaturer ligger i "skyen". Men det er ikke signaturerne jeg vil pointere.

Jeg er med :) Og Cylances pointe er, at deres løsning kører helt uden signaturer, men alligevel skulle kunne fange henved 99 pct. af al malware, selvom det er nypakket og klienten ikke har modtaget en opdatering i seks måneder. Jakob - Version2

  • more_vert
    • insert_linkKopier link
7
Dennis Perto
13. november 2015 kl. 09:11

Jeg skal ikke kunne udtale mig om Bitdefenders løsning. Du har helt ret i at Immunet ikke er en signaturfri løsning, men alle signaturer ligger i "skyen". Men det er ikke signaturerne jeg vil pointere. Machine learning er også en del af løsningen, selv om der ikke er forbindelse til skyen. Ydermere kan du i hvert fald i Ciscos FireAMP løsning, selv vælge om man vil have nogle signaturer på sin maskine, så man er mere beskyttet når man er offline. :)

  • more_vert
    • insert_linkKopier link
6
Jakob Møllerhøj
12. november 2015 kl. 15:04

Du er meget velkommen til at læse bedre op på Immunet her:

Tak skal du ha' :) Nu fik jeg kigget lidt på det, og signaturløst kan man vel alt andet lige ikke sige, systemet i sin helhed er. Her tænker jeg blandt andet på formuleringer som denne :

»From a pure protection standpoint, our traditional signature-based detections are similar to those seen in other antivirus and anti-malware engines. They are geared towards specific threat instances and form an initial line of defense.«

Når det er sagt, har jeg iøvrigt intet specielt forhold til Cylance andet, end at de har inviteret os til Blackhat for at fortælle om og demonstrere deres teknologi. Og den virker umiddelbart lidt anderledes end de traditionelle tilgange, hvis det forholder sig, som de si'r. Altså at de helt har erstattet signatur-filen med machine learning, som kan køre lokalt på klienten - uafhængig af en internetopkobling.

Jeg har dog ikke foretaget en udtømmende kortlægning af markedet for anti-malware - heller ikke set i en historisk kontekst. Så der kan sagtens være flere om buddet.

Eksempelvis ved jeg, at rumænske Bitdefender også arbejder med machine learning. Men som jeg forstår det, er det i forhold til at generere signatur-filer i cloud, som bliver pushet ud til klienten. Så tilgangen her er lidt anderledes. Jakob - Version2

  • more_vert
    • insert_linkKopier link
5
Niklas Hegnelt
12. november 2015 kl. 14:59

Det kommer nok an på omfanget, forretningsmodellen og, ikke mindst, hvor mange penge man har at kaste efter den..

  • more_vert
    • insert_linkKopier link
4
Niels Nielsen
12. november 2015 kl. 13:13

Nu er machine learning så meget et buzzword for tiden, se bare google’s nye værktøj.

Men hvad gør man hvis man, IMO, har en super god ide, men ingen evner whatsoever. Hvordan griber man sådan en situation and? Hvor bør man henvende sig?

  • more_vert
    • insert_linkKopier link
1
Dennis Perto
12. november 2015 kl. 10:41

Cisco har opkøbt Sourcefire, som i tidernes morgen lavede Immunet. Immunet er gratis, og fungerer på samme måde. Jeg kan kun anbefale det. :)

Cisco sælger selvfølgelig også "AMP for Endpoint", også kaldet FireAMP, som er deres premium løsning, som integrerer med FirePOWER i f.eks. Cisco ASA firewalls.

  • more_vert
    • insert_linkKopier link