由人工智慧驅動的偵測功能，能彌補您資安流程中的零日漏洞與延遲差距

每條企業檔案傳輸管道都潛藏著低效率的問題。MFT Managed File Transfer）工作、ICAP 網際網路內容適應協定）代理伺服器、電子郵件附件、客戶上傳入口網站以及跨網域資料傳輸，都面臨同一個統計現實：透過這些管道傳輸的檔案中，約有 99.9% 是乾淨的商業資料。而那 0.1% 的惡意檔案，正是這條傳輸管道存在的全部原因。 每份檔案無論風險高低，都必須支付相同的安全成本，而這種一刀切的做法正是低效的根源。

第一個問題是延遲。在早高峰時段，一個排在數十個檔案後面的檔案，無論是普通的試算表還是未知的可執行檔，都必須等待輪到自己，並經過完整的多重掃描。 在銀行與金融服務領域，這種延遲會直接導致交易被擱置、處理速度變慢，以及電匯因等待掃描器而延誤。根據SANS《2025 年偵測與應對調查》顯示，應對時間已成為 53% 資安團隊面臨的首要挑戰，較前一年的 45% 有所上升。

第二項問題是誤報。大多數機器學習安全引擎都以召回率為調校重點：盡可能擷取所有內容，並容忍噪音。這種權衡在終端裝置上尚可行得通。但在檔案處理流程中，誤報會阻擋合法的業務檔案、觸發不必要的 SOC（安全營運中心）警報，並削弱分析師的信任——而正是這種信任，才使自動化成為可能。同一份 SANS 調查發現，對於 73% 的受訪者而言，誤報現已成為檢測方面最主要的挑戰。

Predictive Alin AI 是OPSWAT由人工智慧驅動的惡意軟體偵測引擎，專門用於執行前的零日漏洞偵測，旨在透過機器學習分析檔案的結構與行為特徵，在惡意檔案執行前即予以識別。該引擎在做出判定時，不依賴簽名、特定威脅的先驗知識，亦不需透過沙箱觸發測試。Predictive Alin AI 會在任何指令執行之前，便解讀出揭示惡意意圖的結構性指標。

傳統的防毒引擎是基於清單運作的。當簽名與已知威脅匹配時，該檔案便會被標記。根據AV-TEST.org 的數據，每天會有 45 萬個新的惡意軟體樣本出現，因此這份清單總是慢半拍。預測性 Alin AI 則採取不同的方法，無論惡意檔案是否曾被偵測過，都會提取並分析其留下的結構性特徵。

該引擎會評估以下特徵：

• 檔案標頭、區段及整體版面配置

• 熵模式與緊湊程式碼指標

• 進入點與控制流特性

• 元資料與匯入資料表

這些是威脅嵌入其檔案結構中的指標，無論該特定威脅是否曾被發現過，這些指標都會存在。即使是一個為了規避偵測而建構的檔案，仍需經過建構過程，而這個建構過程本身蘊含著受過訓練的模型能夠辨識的模式。

大多數機器學習安全引擎都以召回率為優化目標：盡可能標記更多項目，並將誤報視為覆蓋率的代價。OPSWAT 在 Predictive Alin AI 上OPSWAT 截然不同的工程決策。該引擎首先針對精準度進行調校，目標是將誤報率控制在 0.01%。當 Predictive Alin AI 發出判定結果時，該結果的設計初衷就是讓人能夠信賴並直接採取行動，無需人工審查。

這種精準度在兩個方向上皆能體現。能夠識別惡意檔案結構標記的分析機制，同樣也能識別正常檔案的結構標記。正是這種雙向的可靠性，才使得「Deflection」用例成為可能，相關內容將於下一節中詳細說明。

Predictive Alin AI 針對 PE 檔案，能在 P50 水平下於 15 毫秒內完成判定；跨檔案類型的 P90 執行時間介於 10 至 22 毫秒之間；而針對包含 PDF 在內的複雜格式，P99 執行時間則低於 100 毫秒。 目前已有四種格式投入實際運作：PE、PDF、Mach-O 及 ELF，未來發展藍圖中將擴展對更多格式的支援。判定結果會在使用者察覺檔案已上傳之前便已產生，使內嵌式防護既能實際運作，又不會成為處理流程的瓶頸。

偵測結果證明引擎運作正常。每個被正確標記的零日漏洞，都是一個數據點，這些數據點共同構成了採取相反行動所需的實績紀錄。一旦建立起這種信任，原本用於標記惡意檔案的相同精確度門檻，便可同樣自信地應用於確認無害檔案。

當 Predictive Alin AI 發出高可信度的「乾淨」判定時，該檔案將走「已驗證捷徑」。它會繞過 Metascan™Multiscanning 直接進入 Deep CDR™ 技術進行淨化處理Multiscanning 隨後才進行傳送。當 Predictive Alin AI 無法確定時，該檔案則會走完整流程：透過多達 30 個掃描引擎進行多重掃描、經過 Deep CDR™ 技術處理，並在傳送前獲得完整的判定結果。 每個檔案最終都會產生判定結果。路徑轉向僅改變處理路徑，不會改變最終結果。

這在負載高峰期間尤為重要。早晨的電子郵件流量激增、收盤時的批次傳輸，以及公告發布後的上傳流量激增，正是佇列拉長、回應時間上升的時刻。流量分流能在入口處篩除已知正常的流量，使後續的處理流程完全不會受到這波流量衝擊。

轉向機制並不會降低審查力度。MetaDefender® 所奠基的「不信任任何檔案，不信任任何裝置。™」理念始終如一。絕不預設任何檔案是乾淨的。轉向機制是一種保守的作法：當引擎確信無疑時，便會採取行動；一旦存有任何疑慮，該檔案便會被引導至更長的處理路徑。在轉向層級中，絕不會對模糊情況做出判定。

根據 SANS 2025 年《偵測與應對調查》顯示，誤報是 73% 資安團隊面臨的首要偵測挑戰，其中遭遇誤報率極高的團隊比例，更從前一年的 13% 攀升至 20%。每一次誤報，都意味著一名分析師被迫從處理真實威脅的工作中抽身、一個無害檔案被阻擋在合法工作流程之外，以及對偵測系統本身的信任正逐漸受到侵蝕。

負責管理高流量檔案處理管道的 SOC（安全營運中心）團隊正面臨一個日益嚴重的問題：通過處理管道的檔案越多，偵測系統產生的警報就越多，要從大量警報中辨別真正威脅就越困難。當分析師在值班期間忙於排除誤報時，真正的威脅便有更多時間進行活動。SOC 的瓶頸，就是偵測的瓶頸。

若想更深入了解更智慧的分析如何打破這個循環，請參閱：《SOC 瓶頸：透過更智慧的沙箱技術打破警報疲勞循環》。

偵測差距與延遲差距並非僅存在於任何單一產業。無論是在製造業、能源業或政府部門，這些差距都會在不同的營運情境中顯現。下表列出了各產業在 Predictive Alin AI 所針對之功能方面所面臨的具體風險。

各產業對Predictive Alin AI的應用

金融服務機構營運的檔案傳輸管道，其處理量在各產業中名列前茅。客戶上傳入口網站、文件接收工作流程以及跨網域傳輸，都會產生持續不斷的檔案流量，而每一個不必要的警報，都會使分析師的注意力從真正的威脅上轉移。根據 SANS 的調查，對於 73% 的資安團隊而言，誤報是檢測方面面臨的首要挑戰；其中遭遇極高誤報率的團隊比例，更從前一年的 13% 攀升至 20%。

預測性 Alin AI 透過調整精準度而非召回率，從源頭上減少警報數量。SOC 能夠信賴的判斷結果，便是 SOC 能夠自動化的判斷結果，讓分析師得以專注於真正需要調查的檔案。

製造環境面臨著一個特定的入侵問題。由第三方供應商提供的韌體更新、建置產出及軟體套件，在成為威脅之前，首先是以檔案形式傳入。當惡意套件抵達 OT 系統時，損害早已在邊界內部發生。 Predictive Alin AI 會在邊界攔截這些檔案，並在它們被導入生產環境之前，先對其做出執行前的判定。透過OPSWAT先進威脅偵測與防禦平台MetaDefender 運作，該引擎能在無需變更架構的情況下，為現有的資料接收工作流程增添預測性智慧層。

能源與公用事業營運商所管理的關鍵基礎設施環境，往往是連網限制最嚴苛的場域之一。許多偵測方法在「空氣間隔」部署環境中效能會大幅下降，因為這些方法仰賴雲端查詢或外部遙測資料，而這些資源在該環境中根本無法取得。 Predictive Alin AI 可在完全離線狀態下運行，精準度與雲端部署相同，達 99.99%，且無需外部連線或雲端查詢即可維持此效能。現場更新套件及廠商提供的軟體，可在進入電網或廠區運作系統之前於邊界進行檢查，無論網路是否隔離，皆能在數毫秒內得出判定結果。

政府與國防環境在兩種並存的限制下運作：一方面是嚴格的合規要求，規定任何動作都必須經過檢查；另一方面則是禁止外部連線的網路架構。這些限制在過去往往迫使人們在徹底掃描與運作速度之間做出取捨。Alin AI 的預測性人工智慧透過提供執行前的零日漏洞偵測，同時解決了這兩項問題，其功能包括：

• 可在空氣隔離及跨網域環境中完全離線運作

• 無需透過沙箱觸發即可滿足高可信度偵測需求

• 可整合至現有的MetaDefender 、MetaDefender File Transfer™ 及MetaDefender 部署環境中

• 透過由MetaDefender 驅動的「零日」再訓練循環持續進行優化，且無需實時連線即可達成

親眼見證 Predictive Alin AI 的實際運作

「Scan What Matters」線上研討會將詳細說明 Predictive Alin AI 如何同時彌補「零日漏洞」偵測缺口與處理流程延遲缺口，並透過現場示範，展示實際運作環境中的攻擊攔截應用案例與精準度指標。您可隨時按自己的步調觀看隨選錄影。

為您的偵測計畫進行基準測試

由OPSWAT 贊助的《SANS 2025 偵測與應對調查》報告，記錄了來自銀行、政府、醫療保健及製造業等領域的 300 多名資安從業者，在面對誤報激增、警報疲勞及零日漏洞風險時，如何重新思考偵測策略。請下載完整報告，了解貴單位的資安計畫現況。