美国空军研发恶意文件检测软件Whiddler,并通过签署专利许可协议将该软件转让给私营部门。

Whiddler是一个多线程、多进程、具有集群能力的软件扫描应用工具,通过对文件可观察元素进行高级统计分析,来评估文件为恶意或非恶意的概率。其主要优势包括:采用静态分析,无感染风险;不依赖于签名更新来保持准确性;恶意检测率达95%。主要特征包括:部署灵活、可扩展;利用专利专有算法进行文件分析和评分;具有严格检测模式或训练模式;基于网络进行远程监控和报告;可轻松纳入新的文件类型。当前能力包括:检测范围包括被通常利用的文件类型;目前已在国防部内使用;成功实现零日发现。

目前,空军已与私营公司达成专利许可协议,将该软件提供给私营门。此项交易不仅对空军或国防部有多重好处,也有益于更大的商业生态系统,达到了军民双赢的局面。一方面,军方可以获益于私营业界对该软件代码改进,而政府和军方无需承担任何费用,专利的发表和许可费用回馈也有利用军方的人员招聘和保留;另一方面,此项安排使得企业可以获取军方先进检测技术,软件的改进和应用会让更广泛的社会受益。

奇安网情局编译有关情况,供读者参考。

美国空军开发名为Whiddler软件,通过对100多个被称为“可观察对象”的文件元素进行高级统计分析,来检测以前未知/无法识别的恶意文件。

空军恶意文件检测软件Whiddler概况

该软件是一个多线程、多进程、具有集群能力的软件扫描应用工具,可以对文件进行静态分析。完成对文件的观察后,软件将计算该文件为恶意或非恶意的概率。用户可以调整阈值级别。当前软件版本利用贝叶斯定理来确定文件是威胁的总体统计概率。

Whiddler在评估EXE和DLL文件时非常准确。该软件还具有零日能力,其不需要恶意文件的签名,因此它可以识别以前未知的恶意文件。

软件目标:通过静态、统计分析确定恶意活动的概率,对文件进行快速、准确的风险评估。

具体构想:具有高级威胁检测能力;高性能、可扩展;能够对文件特征进行静态分析(不执行);能够检测零日漏洞利用;适用于多平台(Windows和Linux)。

主要优势:采用静态分析,无感染风险;不依赖于签名更新来保持准确性;恶意检测率达95%。

主要特征:部署灵活、可扩展;利用专利专有算法进行文件分析和评分;具有严格检测模式或训练模式;基于网络进行远程监控和报告;可轻松合并新的文件类型。

当前能力:检测范围包括被通常利用的文件类型;目前已在国防部内使用;成功实现零日发现。

Whiddler的运行架构可分为三类:一是最佳性能。头结点进程在专用服务器上全速运行;工作节点通过网络访问头结点。二是中等性能。在一台计算机上运行头结点和工作节点;额外的工作节点通过网络访问头结点。三是单用户站。在一台计算机上运行头结点和工作节点;可用于分析可移动媒体或有限数量的文件。

Whiddler架构操作视图

Whiddler状态窗口操作视图

空军与私营部门签署专利许可协议

美国空军第90网络空间作战中队与私营公司就空军内部开发的用于检测软件漏洞的代码签署了专利许可协议。第一份协议是在2020年12月,第二份是在2021年5月。这些协议对空军第16航空队下属机构来说是首次,但并对空军内部来说并非首次。

空军与第一家公司签署了合作研发协议(CRADA),官员们表示他们正在与第二家公司制订另一份协议。该服务未透露公司名称,也未披露协议金额。根据这些协议,这些公司可以使用第90网络空间作战中队开发的技术并将其转让给私营部门,以更好地识别网络上的软件风险。

官员们表示,完成这些交易不仅对空军或国防部有多重好处,而且可能对更大的商业生态系统有好处。空军第90网络空间作战中队副指挥官司丽贝卡·莱弗利表示,它提供了“改进我们可能不再维护的技术的能力”,“通过该合作协议,我们能够从这些改进中获益,而无需政府承担任何费用,或者至少现在我们的部队不承担任何费用。”

将技术转让给第三方后,政府可以选择是否采纳公司对代码进行的改进。官员们说,这些公司可以修改和改进代码并将其出售给业界,从而让更大的体系更加安全。这种安排使政府免于向行业营销,但为一些企业提供了一种先进的工具,这些工具具有黑客尚未学会击败的专有检测方法。

莱弗利称,“我认为技术转让的整体的目是能够拿到政府投资、纳税人资助的东西,让它比我们在国防部更广泛地使纳税人受益。”第67网络空间联队网络知识产权法主管埃里克·罗森伯格表示,因此,空军正在帮助公司更好地保护消费者和公司免受网络威胁。

国防部网络安全方法的一个重要支柱是为他方提供支持。许多专家提到需要一种所谓的全社会网络安全方法,将政府和私营部门的努力结合起来,以创建更稳定的网络空间。美国网络司令部司令中曾根5月在众议院军事委员会表示,“美国政府与行业合作伙伴一起,必须改善其防御态势,以防止和/或最大限度地减少影响,并向那些利用此类漏洞并攻击美国公司和公民的人施加时间和金钱成本。”

官员们还指出,国防部与私营部门签署这些专利许可协议对招聘和保留的另一个好处。莱弗利称,“人们希望看到他们的作品发表,人们希望通过成为真正专利的发明者而获得认可。这在我们不常看到的更机密的环境中尤其如此。我们有能力利用这些专利许可费,这些费用将返还给发明人或帮助合作的人......这是一个巨大的部分,但同样,它为招聘和保留填砖加瓦,它关系到能够奖励我们的人。”

罗森伯格还指出,这些许可协议验证了第67网络空间联队和第16航空队内部实验室的一定成熟度。他表示,“我认为这表明我们是作为实验室进行开发的,我们能够达成越来越复杂的技术转让协议。我认为这为我们与私营部门开展更复杂的合作奠定了基础。”

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。