W jaki sposób
Symantec Endpoint Protection
wykorzystuje zaawansowane uczenie maszynowe?

Jak działa zaawansowane uczenie maszynowe?
Mechanizm zaawansowanego uczenia maszynowego (AML) określa, czy plik jest dobry czy zły, wykorzystując do tego proces uczenia się. Serwer Symantec Security Response uczy mechanizm, jak rozpoznawać cechy złośliwego oprogramowania i określa reguły, które mechanizm AML wykorzystuje do wykrywania zagrożeń. Firma Symantec szkoli i testuje mechanizm AML w środowisku laboratoryjnym, wykorzystując następującą procedurę:
  • Funkcja LiveUpdate pobiera modle AML do klienta i uruchamia go na kilkanaście dni.
  • Mechanizm AML uczy się, które aplikacje uruchamia klient i które z nich są atakowane, korzystając z danych telemetrycznych klienta. Każdy komputer kliencki jest częścią światowej sieci ochronnej, która zwraca informacje o modelu do firmy Symantec.
  • Firma Symantec dostosowuje model AML w oparciu o wiedzę uzyskaną z danych telemetrycznych klientów.
  • Następnie modyfikuje model AML, by zablokować aplikacje zwykle atakowane przez złośliwe oprogramowanie.
AML to element mechanizmu skanera danych statycznych (SDS). Mechanizm SDS obejmuje emulator, usługę Intelligent Threat Cloud Service (ITCS) oraz mechanizm definicji CoreDef-3.
Program
Symantec Endpoint Protection
wykorzystuje zaawansowane uczenie maszynowe w skanowaniu funkcji Download Insight, technologii SONAR oraz skanowaniu antywirusowym i przeciw programom typu spyware. Wszystkie te rodzaje skanowania używają wyszukiwań Insight do wykrywania zagrożeń.
Jak mechanizm AML współpracuje z chmurą?
Firma Symantec wykorzystuje usługę Intelligent Threat Cloud Service (ITCS) do potwierdzania, czy zagrożenia wykryte przez mechanizm AML na komputerze klienckim są poprawne. Czasami mechanizm AML może zmienić decyzję po konsultacji z usługą ITCS. Mechanizm AML nie potrzebuje do działania usługi Symantec Insight, jednak dzięki niej Symantec może szkolić algorytmy AML pod kątem zmniejszenia liczby fałszywych alarmów i zwiększenia trafności przewidywania. Gdy komputer jest online, program
Symantec Endpoint Protection
jest w stanie zapobiec średnio 99% zagrożeń.
Jak skonfigurować mechanizm AML?
Nie można skonfigurować usługi zaawansowanego uczenia maszynowego. Funkcja LiveUpdate domyślnie pobiera definicje AML. Trzeba jednak pamiętać o włączeniu następujących technologii.
Czynności, jakie należy wykonać, by mieć pewność, że mechanizm AML chroni komputery klienckie
Zadanie
Opis
Krok 1: Sprawdzenie, czy włączona jest dostępność wyszukiwania w chmurze
Zapytania wysyłane przez mechanizm AML do funkcji Symantec Insight nazywają się wyszukiwaniami reputacji, wyszukiwaniami w chmurze albo wyszukiwaniami funkcji Insight. Jeżeli wyszukiwania funkcji Insight są włączone, wykrywanie AML w przypadku skanów SONAR oraz skanowań antywirusowych i przeciw programom typu spyware może dawać mniej fałszywych alarmów.
Aby sprawdzić, czy wyszukiwania Insight są włączone, przeczytaj:
Sprawdź też, czy włączono wysyłki klienta. Te informacje pomagają firmie Symantec w mierzeniu i poprawianiu skuteczności technologii wykrywania.
Krok 2: Sprawdzenie, czy wykrywanie Bloodhound jest włączone
Ustaw poziom wykrywania Bloodhound na automatyczny lub agresywny.
Gdy mechanizm AML natrafia na pewne pliki wysokiego ryzyka, klient automatycznie włącza bardziej agresywne skanowanie.
Po włączeniu trybu skanowania agresywnego:
  • Skanowanie zostanie ponownie uruchomione.
  • Na kliencie pojawia się następujące powiadomienie:
    Uruchamianie skany agresywnego wykorzystującego wyszukiwania funkcji Insight do czyszczenia komputera.
W trybie agresywnym konieczne może być dalsze zarządzanie fałszywymi alarmami.
Krok 3: Sprawdzenie, czy funkcja LiveUpdate pobiera definicje wysokiej intensywności (14.0.1) (opcjonalnie)
Funkcja LiveUpdate zawsze pobiera treści mechanizmu AML.
Od wersji 14.0.1 funkcja LiveUpdate pobiera bardziej agresywny zestaw definicji, który współdziała z zasadą niskiej przepustowości uzyskaną z chmury. Można wyłączyć pobieranie treści AML za pośrednictwem funkcji LiveUpdate.
Z LiveUpdate do programu
program Symantec Endpoint Protection Manager
:
Z programu
program Symantec Endpoint Protection Manager
do klientów Windows:
Krok 4: Obsługa fałszywych alarmów
Rozwiązywanie problemów z zaawansowanym uczeniem maszynowym
Dzienniki i raporty wykrywania przez zaawansowane uczenie maszynowe są takie same, jak w przypadku pozostałych mechanizmów SDS. Aby wyświetlić raport zawierający niedawne zagrożenia, uruchom raport Ryzyko z opcją
Nowe zagrożenia wykryte w sieci
.
Od wersji 14.0.1 można uruchamiać zaplanowane raporty dotyczące wykrywania mechanizmu AML. Na stronie
Raporty
kliknij
Zaplanowane raporty
>
Dodaj
>
Stan komputera
>
Dystrybucja treści zaawansowanego uczenia maszynowego (statyczna)
. Program
program Symantec Endpoint Protection Manager
musi być zarejestrowany w konsoli w chmurze, by raport mógł się pojawić.