數位戰警網路掃黑。(圖/fatcat11繪)
網路數位世界黑影幢幢,美國有線電視新聞網CNN曾報導,全世界每天產生超過100萬個惡意程式;臺灣軟體聯盟也曾發布調查報告,全球企業因惡意程式攻擊,每年損失超過10兆新臺幣,相當於我國109年度政府總預算的5倍。駭客散播惡意程式橫行網路,不僅企業深受其害,各國政府也防不勝防。
行政院資通安全處偵測統計,我國各政府單位每月被攻擊次數高達2,000萬到4,000萬次。近期最受矚目的就是,總統府在蔡英文總統520連任就職前夕,驚傳遭駭客入侵電腦竊取資料;接著5月底美國資安公司「Cyble Inc」揭露駭客在暗網(
註1)兜售「臺灣全國戶政登記資料庫」超過2,000萬筆臺灣民眾個資,接連引發輿論譁然。
面對駭客無窮盡的闇黑攻擊,臺灣大學電機工程學系教授林宗男從2018年開始,帶領團隊利用資料科學處理分析,建立網路異常與攻擊預測模式,發展「AI Cyber Security」(人工智慧網路安全)系統,從偵測藏身於Windows與Android系統的惡意程式、暗網流量分類與網路惡意流量偵測等「四管齊下」,全面展開網路掃黑行動,防堵駭客散播惡意程式搞破壞。
臺灣大學電機工程學系教授林宗男。(圖/李宗祐攝)
抓出惡意程式的AI網路安全系統
這項研究計畫今年邁進第3年,「我們做出來的技術,都是可以馬上用的真槍實彈!」林宗男透露,相關前瞻技術初步成果陸續發表後,「國家安全局就找上門,要跟我們技術合作。」隨著世界各國競相重點投資,引領AI成為國力象徵,研究團隊除了以建置臺灣國家級網路防禦系統為目標,更希望這套系統能夠推廣成為捍衛各國企業或組織的數位戰警。
就如同CNN報導,全世界每天產生超過100萬個惡意程式,網路數位世界危機四伏;但值得注意的是,這個數據還是2015年的統計,現在恐怕有增無減。研究團隊以先發制人策略杜絕惡意程式伸出魔爪,利用CNN(Convolutional Neural Networks,卷積神經網路)模型(
註2)訓練AI偵測是否有惡意程式潛伏在使用者電腦Windows或手機Android系統蠢蠢欲動。
Windows與Android的惡意程式偵測
「我們的目標是在他還沒有執行之前,阻止惡意程式啟動。」面對五花八門的應用程式,研究團隊指出,使用者在下載執行前,「把程式的EXE執行檔轉換成圖片檔放進我們建立的模型,AI就會告訴你這個程式是惡意程式的機率是多少?如果很高,就不要執行,避免系統被惡意程式感染。」林宗男強調,能夠辨認程式碼到底是惡意或者是正常,是確保網路安全最重要的基本功。
Windows 惡意程式偵測:相對於NVIDIA將程式執行檔轉換為灰階圖像列,臺大研究團隊把執行檔轉換為圖形化資料,偵測惡意程式效率明顯提升7.2%。把執行檔圖形化的方法更為安全,只看圖的結構,不會啟動執行檔,可以避免在偵測過程被感染。(圖/林宗男實驗室提供)
經過測試驗證,Windows偵惡系統成功率與準確率達88.9%,超越全球圖形處理器領導廠商NVIDIA發表的AI偵惡技術7.2%。林宗男指出,很多軟體公司都競相投入研究,就過去已公開發表的研究論文,NVIDIA抓駭效率暫時領先群雄;臺大團隊與擁有雄厚資源的NVIDIA研究團隊相較,就像是小蝦米與大鯨魚,能夠超越他們很不容易。「但這僅是初步研究結果,我們還在持續精進中。」
相對於Windows偵惡系統獨立開發,Android偵惡系統則是與日本NICT(情報通信研究機構)合作研發,利用臺大團隊提出的新演算法,把NICT研發的AI偵惡系統抓駭效率從92%提升到96.2%,青出於藍而勝於藍,讓日本團隊印象深刻。
Android 惡意程式偵測:研究團隊透過取出已知惡意程式的可執行檔特徵,並利用反混淆技術加入新的特徵,再透過AI演算法處理特徵,判斷是否為惡意Android程式。(圖/林宗男實驗室提供)
透過機器學習,分析暗網流量
雖然無法做到百分之百滴水不漏,但為了知已知彼,研究團隊更直搗黃龍,「潛水」暗網蒐集情資,分析駭客行為特徵。林宗男表示,駭客為了躲避追蹤,都在暗網活動,因為透過TOR瀏覽器加密,網管人員無法辨識使用者到底是在上網聊天、傳資料、發送EMAIL,還是看YouTube聽音樂或追劇等。對追蹤技術研究者而言,到暗網觀察駭客「水面下」的活動,是很重要的情資來源。
研究團隊透過AI研究分析已知惡意程式的網路行為特徵,再側錄蒐集暗網不同使用者上傳流量與行為模式,找出「壞人經常走的路徑」,把暗網流量做善惡分類,研判哪些是正常上網行為,哪些是惡意程式發動攻擊。林宗男舉例,就像防疫期間每個人都戴著口罩,但年紀大的和年紀輕的行為就是不一樣,「我們就是利用AI從行為特徵分辨使用者上網行為是否正常。」
研究成果經與美國IBM和中華電信合作驗證測試,辨識率高達99.6%,遠超過加拿大研究團隊的81.6%。對ISP(網路服務供應商)而言,若能明確辨識暗網流量分類,就不必把看影片或聽音樂等受到惡意攻擊可能性極低的影音串流,全部導入IDS(入侵檢測系統)資安偵測,大幅節省資源。
暗網流量類型分類:臺大研究團隊利用AI演算法分析網路流量特徵,把經過匿名加密的流量分門別類,協助網管人員有效而安全的管理網路。(圖/林宗男實驗室提供)
惡意流量偵測,鞏固第2道防線
研究團隊也利用最近3年眾所周知的10種惡意程式,包括2017年肆虐全球的勒索軟體WannaCry(想哭)進行惡意流量偵測「實兵演練」。畢竟惡意程式偵測不可能做到百分之百,漏網之魚在所難免。根據資安調查顯示,惡意程式滲透入侵電腦系統之後,平均長達56天才會被發現。
「惡意流量偵測其實是第2道防線!發生惡意流量代表電腦已經中毒了,我們的目標是在最短時間偵測出惡意流量。」林宗男透露,跨國網路科技公司CISCO現有商用偵測系統精確度已達97.7%,「我們做得再好,也僅能微幅提升到98.2%。」研究團隊再發揮3個臭皮匠勝過1個諸葛亮的精神,把2套系統截長補短,將精確度再向上提升0.3%,堅持沒有最好、只有更好的信念,鍥而不捨地挑戰不可能的任務。
惡意流量偵測:研究團隊透過AI研究分析已知惡意程式的網路行為特徵,加速偵測發現網路異常流量,並揪出潛伏在網海裡面興風作浪的惡意程式。(圖/林宗男實驗室提供)
eID的潛在風險
然而林宗男也深知,資安不可能做到百分之百的絕對安全。當內政部決定在明年全面換發new eID數位身分證,建置T-Road(政府資料傳輸平臺),打造跨政府機關資料通道網路,推動「一卡多用」串聯戶籍資料、健保資料庫、汽機車駕照交通監理資料、國民年金與勞保勞退年金等,同時政府也將讓new eID擁有線上交易完整性與不可否認性,做為電子商務交易憑證。林宗男對此呼籲政府應正視new eID缺乏法源依據的問題,更要從資訊安全的角度,重新審慎評估全面換發數位身分證的必要性。
「透過new eID建置T-Road聽起來好像很方便、很進步,但對駭客而言,要偷取全國2,300萬人的資料,也非常方便。一旦出現資安破口,整個系統就會因單點失效而全面瓦解。」林宗男說,「new eID把國人從出生到死亡所有資料全部放在T-Road,我們都知道網路沒有絕對安全,還要把所有的東西全部放在一個籃子裡面嗎?」政府應該要有分散風險的危機意識,數位身分證絕對不能「一卡多用」。
註1
:利用TOR(The Onion Router洋蔥路由器)瀏覽器遮蔽使用者真實位址,避開網管系統追蹤的匿名網路。