[AI革命](71) 用AI揪出恶意应用…Secuion

by Kang Nahum

Published 23 Oct.2023 09:11(KST)

Updated 20 Dec.2023 14:33(KST)

open/close

AI恶意应用自动分析系统“OnAppScan”
通过应用分析流程自动化提升分析人员工作效率
杀毒解决方案“OnVaccine”……恶意应用检测率达99%

“这场攻防战已经从台式电脑扩展到移动领域。攻击手段在不断实现自动化和智能化，相应的防御技术也必须同步高度化。”

近期，为绕过移动设备安全解决方案而进行代码混淆的恶意应用程序（App）不断增多，相关受害案例也在扩大。由于大多数恶意应用都采用了应用程序安装包（APK）本身加密和代码混淆等技术，要分析应用如何运行、实施何种行为十分困难。比如，攻击者会在反编译（拆解文件）时，将主要代码替换为任意数值，使其难以辨认。开发语言中通常使用的语句保持不变，只更改关键信息，从而让人难以判断这段代码具体执行什么功能。也就是说，在保留实施网络钓鱼犯罪所需功能的同时，让移动杀毒软件难以检测到。

为了捕捉此类恶意应用，有企业提供利用人工智能（AI）的差异化安全解决方案，这就是基于人工智能的安全企业SecuLetter。SecuLetter代表 Yoo Donghun 表示：“为了突破传统特征码（签名）基础恶意应用检测解决方案的局限，我们一直在研究多种启发式（将复杂任务简化为简单判断的方式）检测技术，其成果就是开发出了如今本公司品牌‘On’解决方案的核心技术——AI检测系统。”

SecuLetter的代表性服务之一，是基于人工智能的恶意应用自动分析系统 OnAppScan。OnAppScan以SecuLetter自主研发的AI检测系统为基础，能够实现应用分析流程自动化并判定风险等级，从而提升一线分析人员的工作效率。

业界过去主要使用的特征码基础检测与分析系统，是通过分析恶意应用提取模式并进行更新的方式运作的，这种方式在检测新的或变种的恶意应用时存在薄弱环节。对于通过更改变量和指令模式、打乱逻辑等多种方式修改代码的混淆应用，普通的模式基础引擎很难进行检测和分析。因此，只能依赖分析人员的人工分析来弥补。要分析这类智能化恶意应用，即便是经验丰富的专家也需要投入大量时间和精力。

SecuLetter正利用人工智能技术解决这一问题。即便是通过多种方式更改代码、进行混淆的恶意应用，只要仍处于可执行形态，就可以借助以执行所需信息为主进行分析的机器学习引擎来判定其是否为恶意程序。机器学习技术将原本“人工分析→人工判定”的流程转变为“自动判定→人工复核”，从而降低对分析人员个人能力的依赖，并节省分析所需时间等资源。

Yoo代表说明称：“我们正在研究基于可解释人工智能（XAI，Explainable Artificial Intelligence）的验证与追踪技术，使机器学习引擎在判定风险等级时的依据可以被验证，从而建立起自动判定与自动验证系统。”

近期，公司推出了“OnAppScan V2.0”。该版本在分析应用了代码混淆和阻碍解压等分析干扰技术、并高度演进的语音钓鱼恶意应用方面具有优势。新增功能“语音钓鱼检测器（Voice Phishing Detector）”会以启发式方式分析内嵌在语音钓鱼恶意应用中的关键文件，从而判定其是否为恶意程序。

SecuLetter的另一项服务是机器学习杀毒解决方案“OnAV（OnVaccine）”。这同样是利用自主开发的AI检测系统打造的产品。它通过将机器学习检测、特征模式检测和信誉度检测相结合，构建“交叉验证系统（CVS，Cross Validation System）”，在提高检测率的同时，将检测所需资源降到最低，特别擅长检测新的及变种恶意应用。

OnVaccine已获得“AV-TEST”、“AV-Comparatives”等全球认证。尤其是全球安全产品性能评估机构“AV-Comparatives”，以严格的评估标准而闻名。参评企业只有在综合检测率达到99%以上、误报（过度检测）不超过10个的情况下，才能获得认证。OnVaccine以99.7%的综合检测率，成为国内企业中唯一连续5年获得该认证的产品。