Hai mai pensato di poter rilevare e classificare il malware visualizzandolo? Bene, ora puoi. I ricercatori di Microsoft e Intel hanno recentemente dichiarato l'uso della tecnica del Deep-Learning per rilevare e identificare l'esistenza di malware dannoso analizzando le immagini.
Il progetto è noto come STAMINA: analisi di rete di malware come immagine statica. La nuova tecnica trovata funziona su un sistema basato su immagini. Converte il malware in immagini in scala di grigi, quindi scansiona e analizza i suoi modelli strutturali e strutturali alla ricerca di malware.
Il processo funziona prendendo la forma binaria del file di input e convertendolo in un flusso di dati di pixel grezzi, che viene quindi convertito in un'immagine. Una rete neurale addestrata lo esamina quindi per verificare l'esistenza di qualsiasi elemento infettivo.
ZDNet ha affermato che l'IA di STAMINA si basa sui Windows Defender Installer raccolti da Microsoft. Ha inoltre affermato che, poiché il malware di grandi dimensioni può tradursi senza sforzo in immagini enormi, la tecnica non dipende da elaborate reazioni dei virus pixel per pixel.
Poche limitazioni di STAMINA
Finora Stamina è stata in grado di rilevare malware con una percentuale di successo del 99,07 percento e una percentuale di falsi positivi inferiore al 2,6 percento.
La tecnica funziona incredibilmente bene su file più piccoli, ma la sua efficacia diminuisce con i file più grandi. I file di grandi dimensioni contengono un volume maggiore di pixel che richiedono capacità di compressione più elevate che sono al di fuori della gamma coerente di Stamina.
Per dirla in un linguaggio semplice per te “L'efficacia dei risultati di STAMINA diminuisce per file di dimensioni maggiori”.
Per saperne di più: Il malware Android "Unkillable" offre agli hacker l'accesso remoto completo al tuo telefono
Il processo di conversione di un malware in un'immagine
Secondo i ricercatori di Intel, l'intero processo consiste in pochi semplici passaggi:
- Nel primo passaggio prendi il file di input e converti la sua forma binaria in dati di pixel grezzi.
- I binari del file di input vengono quindi convertiti in un flusso di pixel. Ad ogni byte del file viene quindi assegnata un'intensità di pixel. Il valore del byte è compreso tra 0 e 255.
- I dati dei pixel unidimensionali vengono quindi convertiti in un'immagine 2D. La dimensione del file definisce la larghezza e l'altezza di ogni immagine.
- L'immagine viene quindi analizzata e studiata dall'algoritmo di immagine e dalla rete neurale profonda di STAMINA.
- La scansione definisce se l'immagine è pulita o infetta da ceppi di malware.
Un hash di file eseguibile portatile infetto da 2,2 milioni è stato utilizzato come base della ricerca da Microsoft. Oltre a questo, Intel e Microsoft hanno addestrato il loro algoritmo DNN utilizzando il 60% di campioni di malware noto, il 20% sono stati distribuiti per controllare e convalidare il DNN e il restante 20% di file di esempio è stato utilizzato per i test effettivi.
I recenti sforzi e gli investimenti di Microsoft nelle tecniche di apprendimento automatico potrebbero costituire il futuro del rilevamento del malware. Sulla base del successo di STAMINA, i ricercatori sulla sicurezza prevedono che la tecnica del Deep-learning ridurrà i cambiamenti nelle minacce digitali e manterrà i tuoi dispositivi al sicuro in futuro.