Har du nogensinde tænkt på, at du kunne opdage og klassificere malware ved at visualisere det? Nå, nu kan du. Forskerne hos Microsoft og Intel har for nylig erklæret brugen af Deep-Learning-teknikken til at opdage og identificere eksistensen af ondsindet malware ved at analysere billederne.
Projektet er kendt som STAMINA: Statisk Malware-som-Image-netværksanalyse. Den nyfundne teknik fungerer på et billedbaseret system. Den konverterer malwaren til gråskalabilleder og scanner og analyserer derefter dens strukturelle og teksturelle mønstre for malware.
Processen fungerer ved at tage den binære form af inputfilen og konvertere den til en strøm af rå pixeldata, som derefter konverteres til et billede. Et trænet neuralt netværk undersøger det derefter for at kontrollere eksistensen af et smitsomt element.
ZDNet udtalte, at STAMINA's AI er baseret på Windows Defender Installers indsamlet af Microsoft. Den anførte endvidere, at da den store malware ubesværet kan omsættes til enorme billeder, er teknikken ikke afhængig af omfattende pixel-for-pixel-reaktioner fra vira.
Få begrænsninger af STAMINA
Så langt Stamina har været i stand til at opdage malware med en succesrate på 99,07 procent og en falsk positiv rate, der falder under niveauet på 2,6 procent.
Teknikken fungerer utrolig godt på mindre filer, men dens effektivitet falder med de større filer. Store filer indeholder en større mængde pixels, der har brug for højere komprimeringsevner, som ligger uden for det konsekvente udholdenhedsinterval.
For at sige det på et enkelt sprog for dig "Effektiviteten af resultaterne af STAMINA falder for større filer".
Læs mere: Android Malware 'Unkillable' giver hackere fuld fjernadgang til din telefon
Processen med at konvertere en malware til et billede
Ifølge forskerne hos Intel består hele processen af et par enkle trin:
- I det første trin skal du tage inputfilen og konvertere dens binære form til rå pixeldata.
- De binære filer i inputfilen konverteres derefter til en pixelstrøm. Hver byte af filen tildeles derefter en pixelintensitet. Byteværdien ligger mellem 0-255.
- De 1-dimensionelle pixeldata konverteres derefter til et 2D-billede. Filstørrelsen definerer bredden og højden af hvert billede.
- Billedet analyseres og studeres derefter af STAMINA's billedalgoritme og dybe neurale netværk.
- Scanningen definerer, om billedet er rent eller inficeret af malware-stammer.
En 2,2 m inficeret Portable Executable fil-hashes blev brugt som grundlag for undersøgelsen af Microsoft. Ud over dette trænede Intel og Microsoft deres DNN-algoritme ved at bruge 60 % prøver af kendt malware, 20 % blev indsat for at kontrollere og validere DNN, og de resterende 20 % prøvefiler blev brugt til faktisk test.
Microsofts seneste indsats og investering i maskinlæringsteknikker kan danne fremtiden for opdagelse af malware. Baseret på succesen med STAMINA, forventer sikkerhedsforskere, at Deep-learning-teknikken vil reducere ændringerne i digitale trusler og vil holde dine enheder sikre i fremtiden.