微软 Defender ATP 的深度学习在威胁防护中的突破

在"微软威胁防护的机器学习进展.pdf"这份文档中，主要探讨了微软在其安全防护系统中利用机器学习技术进行威胁检测和防御的方法。这份报告由Christian Seifert，一位资深的研究员，以其"安全研究超级英雄"的身份分享，重点关注了主动防御和被动防御策略在对抗恶意行为时的融合。 1. 主动防御与被动防御： 文档强调了主动防御，这是一种主动寻找和阻止潜在威胁的行为，而不是仅仅依赖于事后响应。通过实时监控和分析系统活动，主动防御能够尽早发现并消除威胁，减少误报（FP）的容忍度，特别是对于中等目标，它能够警告所有可能的违规行为。 2. 文件和行为检测： Microsoft Defender ATP（Advanced Threat Protection）包含了多项功能，如检测文件、进程、IP地址和URL，利用内部信号如Office365 ATP的协作，以及外部数据源如Azure ATP、Windows Store和Bing搜索。这些功能结合在一起，形成了一个全面的安全网，能实时监控并识别可疑活动。 3. 深度学习的应用： 深度学习在MDATP（Microsoft Defender Advanced Threat Analytics）中发挥关键作用，特别是在PowerShell上下文理解上。通过分析tokens向量（ℝ^n），深度学习模型可以学习到PowerShell命令的语义，如识别"Export-CSV"和"ConvertTo-Html"这样的操作。这提高了检测恶意代码的能力，提升了True Positive Rate（真正例率）大约22%。 4. 异常检测与单调模型： 单调模型在案例研究中被提及，这种模型可能导致对恶意功能的过度估计，因为它们假设恶意行为总是遵循特定模式。然而，现实中的攻击者可能会采用更加复杂和动态的方法，因此，研究人员探索了单调方法之外的解决方案，如采用深度学习的非单调性特性来应对潜在的Adversaries（攻击者）。 5. AI多样性与同态加密： 文档还讨论了AI多样性的重要性，即使用多种不同的学习算法和技术，如同态加密，以增强系统的鲁棒性和安全性。这样可以防止单一漏洞影响整个防护系统，提高整体抵御威胁的能力。 总结来说，这份报告深入剖析了微软如何通过集成机器学习技术，特别是深度学习，提升其威胁防护系统的性能，包括在PowerShell上下文中理解代码语义、应用异常检测和解决单调模型的问题。同时，文档强调了多样性和安全性策略在现代威胁环境中的必要性。