Ooit gedacht dat je malware kon detecteren en classificeren door het te visualiseren? Nou, dat kan. De onderzoekers van Microsoft en Intel hebben onlangs het gebruik van de Deep-Learning-techniek aangekondigd om het bestaan van te detecteren en te identificeren kwaadaardige malware door de beelden te analyseren.
Het project staat bekend als STAMINA: Statische Malware-as-Image Netwerkanalyse. De nieuw gevonden techniek werkt op een op afbeeldingen gebaseerd systeem. Het zet de malware om in grijswaardenafbeeldingen en scant en analyseert vervolgens de structurele en textuurpatronen op malware.
Het proces werkt door de binaire vorm van het invoerbestand aan te nemen en dit om te zetten in een stroom onbewerkte pixelgegevens, die vervolgens worden omgezet in een afbeelding. Een getraind neuraal netwerk onderzoekt het vervolgens om het bestaan van een besmettelijk element te controleren.
ZDNet verklaarde dat de AI van STAMINA is gebaseerd op de Windows Defender-installatieprogramma's die door Microsoft zijn verzameld. Het verklaarde verder dat, aangezien de grote malware zich moeiteloos kan vertalen in enorme afbeeldingen, de techniek niet afhankelijk is van uitgebreide pixel-voor-pixel reacties van virussen.
Weinig beperkingen van STAMINA
Tot dusverre is Stamina erin geslaagd malware te detecteren met een slagingspercentage van 99,07 procent en een percentage valse positieven dat onder het niveau van 2,6 procent viel.
De techniek werkt ongelooflijk goed op kleinere bestanden, maar de effectiviteit neemt af met de grotere bestanden. Grote bestanden bevatten een groter aantal pixels waarvoor hogere compressiemogelijkheden nodig zijn die buiten het consistente bereik van Stamina vallen.
Om het in een eenvoudige taal voor je te zeggen "De effectiviteit van de resultaten van STAMINA neemt af voor grotere bestanden".
Lees verder: Android Malware 'Unkillable' geeft hackers volledige externe toegang tot uw telefoon
Het proces van het omzetten van malware in een afbeelding
Volgens de onderzoekers van Intel bestaat het hele proces uit een paar eenvoudige stappen:
- Neem in de eerste stap het invoerbestand en converteer de binaire vorm ervan naar onbewerkte pixelgegevens.
- De binaire bestanden van het invoerbestand worden vervolgens omgezet in een pixelstroom. Elke byte van het bestand krijgt vervolgens een pixelintensiteit toegewezen. De bytewaarde ligt tussen 0-255.
- De 1-dimensionale pixelgegevens worden vervolgens omgezet in een 2D-beeld. De bestandsgrootte bepaalt de breedte en hoogte van elke afbeelding.
- Het beeld wordt vervolgens geanalyseerd en bestudeerd door het beeldalgoritme en het diepe neurale netwerk van STAMINA.
- Het scannen bepaalt of de afbeelding schoon is of geïnfecteerd is door malware.
Een 2,2 miljoen geïnfecteerde Portable Executable-bestandshashes werden gebruikt als basis voor het onderzoek door Microsoft. Afgezien hiervan hebben Intel en Microsoft hun DNN-algoritme getraind door 60% voorbeelden van bekende malware te gebruiken, 20% werden ingezet om de DNN te controleren en te valideren en de resterende 20% voorbeeldbestanden werden gebruikt voor het daadwerkelijke testen.
De recente inspanningen en investeringen van Microsoft in machine learning-technieken kunnen de toekomst van malwaredetectie vormen. Op basis van het succes van STAMINA verwachten beveiligingsonderzoekers dat de Deep-learning-techniek de veranderingen in digitale bedreigingen zal verminderen en uw apparaten in de toekomst veilig zal houden.