整合深度學習技術，Sophos無特徵碼防護系統新版問世

距離現在一年多前（2016年9月），Sophos推出了Intercept X，這是一套專門防護漏洞濫用攻擊與勒索軟體的產品，能在已經安裝各種廠牌防毒軟體的個人電腦使用，到了今年初，Intercept X終於發布了後繼版本2.0，首度納入整合深度學習技術的惡意軟體偵測引擎，並且增加、更新漏洞濫用攻擊防護的相關功能，提升減緩主動式敵對攻擊（Active Adversary Mitigations）的能力。

而且在支援的作業系統平臺上，Intercept X從原本以Windows為主要保護的端點環境，新版開始擴及macOS。

若要確認Sophos Intercept X是否已經啟用深度學習的技術，我們可以從Sophos Central的Admin Dashboard網頁管理介面當中，點選左側主選單「組態」下面的政策，然後到右側詳細畫面當中，選擇「設定」，接下來即可看到深度學習的啟用選項，就像上圖這樣。

全面採用深度學習，提升未知惡意軟體偵測能力

以深度學習的應用而言，Intercept X新版採用了類神經網路技術，可以透過經驗學習，建立觀察行為與惡意軟體之間的交互關連性，進而快速、精準偵測所存取的檔案內容，確認是否具有惡意或是潛在無用軟體（PUA），並且導入了誤判抑制（False Positive Suppression）功能，可自動執行，；若出現這樣的情況，系統即可在這些檔案開始執行之前，予以自動判定與隔離，而不需要掃描、比對特徵碼，導致系統效能與整體管理機制受到影響。

對於監控的應用程式，Intercept X的深度學習技術會區分為三類：惡意軟體、潛在的無用軟體、合法軟體，也就是界定出黑、灰、白等三種應用程式名單。

應用了深度學習技術，系統仍會誤判（False Positive，FP），而為了要設法降低這類情況的發生，Sophos加入了誤判抑制機制，他們在Vimeo網路視訊平臺所發布的相關影片當中，更進一步介紹了裡面的三種抑制方法，以及針對惡意軟體與潛在無用軟體進行誤判排除的流程。

基本上，Intercept X採用的深度學習技術，搭配了SophosLabs提供的延伸訓練資料集，能夠辨識重要的屬性，因此，單靠這套系統本身，就能區隔惡意與正常檔案的差異。這套資料集所需要的儲存空間也很小，低於20 MB，而且不需要經常更新。

同時，SophosLabs會運用新收集，以及先前所不曾接觸的惡意軟體範例，持續訓練資料模型，同時監控決策有效性的分界範圍。

一般而言，若在威脅防禦機制當中使用機器學習，通常會運用特定的變數，像是檔案大小、壓縮層級，來預測檔案的惡意程度，能夠辨識出屬性與分類是否為惡意或正常，而且持續學習，以便正確辨識惡意軟體。

Sophos認為，只靠幾種變數是不夠的，當人工智慧可以看到更多屬性，對於預測惡意檔案的能力就越豐富。

因此，相較之下，傳統機器學習的作法，就會顯得落後，因為它無法處理大量變數，而難以趕上當前網路威脅的發展，就算要這麼做，往往需要更多的儲存空間與運算能力，才能達到目的。

而Intercept X運用的深度學習模型，能夠處理來自多個分析層級的資料，就像腦神經一般，分析不同輸入資料特性之間的關係，自動揭露資料的最佳組合與運用方式，並提出預測性推論。這種方式能夠快速、精確地處理數千萬個資訊點， 而不會讓使用者系統效能陷入泥淖。

強化漏洞濫用行為的防護能力

對於漏洞濫用的預防，Intercept X現在可減緩惡意處理程序的影響，例如，能夠偵測遠端反射式DLL注入（這種手法因為可在系統執行的處理程序之間遊走不定，因而難以偵測），以及處理程序執行權限擅自提升的可疑狀況。

這是Intercept X特有的根本原因分析功能，在先前版本就已經提供，在圖像化的關係呈現上，新版除了能夠突顯檔案、處理程序、登錄機碼、網路連線的部份，似乎增加了標籤顯示的項目。

提供防禦主動敵對攻擊的方法

在因應主動敵對攻擊減緩的作法上，Sophos在Intercept X提供了幾種保護機制，例如，能夠對於存放在記憶體、系統登錄、儲存裝置的認證密碼、雜湊值等身分資訊，提供預防受到竊取的機制，阻止Mimikatz這類惡意程式的密碼偷取行為。

另一種防護則是，則是針對程式碼未用記憶體空間（Code cave），以及非同步程序呼叫（APC）遭到濫用的狀況，提供偵測。以Code cave的偵測而言，Intercept X能夠監督部署到其他應用程式的程式碼存在狀態，以免遭到惡意程式潛入合法應用、長期佔用，而能迴避防毒軟體的過濾。

至於APC濫用防護機制的提供，則與AtomBombing這類程式碼注入的伎倆有關，因為，近期許多惡意軟體的大量散布，都運用了上述作法來發動間接攻擊，像是WannaCry、NotPetya等，都是典型的例子，透過這些非同步呼叫，促使另一支處理程式來執行惡意程式碼。

在應用程式保護上，這一版的Intercept X也針對網頁存取的部分，提供進階功能。像是，新增的瀏覽器行為鎖定，可預防瀏覽器端檢視網頁內容，趁機在個人電腦端執行惡意的PowerShell程式碼。

Sophos在此提供的另一層防護，則是針對HTML應用程式（HTA）的鎖定。若是瀏覽器載入了這類應用程式，Intercept X也會如同上述瀏覽器防護的作法，套用鎖定機制來減緩威脅發生的狀況。

產品資訊

Sophos Intercept X 2.0
●原廠：Sophos(02)7709-1980
●建議售價：每人每年2,208元（未稅）
●作業系統需求：Windows 7、8.0、8.1、10（32和64位元），macOS
●硬體需求：記憶體1GB、硬碟空間1GB
●主要防護：防漏洞濫用攻擊、減緩主動式敵對攻擊、防護勒索軟體攻擊（CryptoGuard、WipeGuard）、鎖定應用程式、整合深度學習
●延伸防護：分析感染根本原因、整合Sophos Clean清除工具、支援Synchronized Security Heartbeat協同防護

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】