Har du noen gang tenkt på at du kunne oppdage og klassifisere skadelig programvare ved å visualisere den? Vel, nå kan du. Forskerne ved Microsoft og Intel har nylig erklært bruken av Deep-Learning-teknikken for å oppdage og identifisere eksistensen av skadelig programvare ved å analysere bildene.
Prosjektet er kjent som STAMINA: Statisk Malware-as-Image-nettverksanalyse. Den nyoppdagede teknikken fungerer på et bildebasert system. Den konverterer skadelig programvare til bilder i gråskala, og deretter skanner og analyserer dens strukturelle og teksturelle mønstre for skadelig programvare.
Prosessen fungerer ved å ta den binære formen til inndatafilen og konvertere den til en strøm av rå pikseldata, som deretter konverteres til et bilde. Et trent nevralt nettverk undersøker det deretter for å sjekke eksistensen av et smittsomt element.
ZDNet uttalte at AI av STAMINA er basert på Windows Defender Installers samlet inn av Microsoft. Den uttalte videre at siden den store skadelige programvaren enkelt kan oversettes til enorme bilder, er ikke teknikken avhengig av forseggjorte piksel-for-piksel-reaksjoner fra virus.
Få begrensninger av STAMINA
Så langt har Stamina vært i stand til å oppdage skadelig programvare med en suksessrate på 99,07 prosent, og en falsk positiv rate som faller under nivået på 2,6 prosent.
Teknikken fungerer utrolig bra på mindre filer, men effektiviteten avtar med de større filene. Store filer inneholder et høyere volum piksler som trenger høyere komprimeringsevner som er utenfor det konsistente området for Stamina.
For å si det på et enkelt språk for deg "Effektiviteten til resultatene av STAMINA reduseres for filer med større størrelse".
Les mer: Android Malware 'Unkillable' gir hackere full ekstern tilgang til telefonen din
Prosessen med å konvertere en skadelig programvare til et bilde
Ifølge forskerne ved Intel består hele prosessen av noen få enkle trinn:
- I det første trinnet tar du inngangsfilen og konverterer dens binære form til rå pikseldata.
- Binærfilene til inngangsfilen konverteres deretter til en pikselstrøm. Hver byte av filen blir deretter tildelt en pikselintensitet. Byteverdien varierer mellom 0-255.
- De 1-dimensjonale pikseldataene konverteres deretter til et 2D-bilde. Filstørrelsen definerer bredden og høyden på hvert bilde.
- Bildet blir deretter analysert og studert av bildealgoritmen og det dype nevrale nettverket til STAMINA.
- Skanningen definerer om bildet er rent eller infisert av skadelig programvare.
En 2,2 m infisert Portable Executable fil-hasher ble brukt som grunnlag for forskningen av Microsoft. Bortsett fra dette trente Intel og Microsoft opp DNN-algoritmen ved å bruke 60 % prøver av kjent skadelig programvare, 20 % ble distribuert for å sjekke og validere DNN, og de resterende 20 % prøvefilene ble brukt til faktisk testing.
Microsofts nylige innsats og investering i maskinlæringsteknikker kan danne fremtiden for oppdagelse av skadelig programvare. Basert på suksessen til STAMINA, forventer sikkerhetsforskere at dyplæringsteknikken vil redusere endringene i digitale trusler og vil holde enhetene dine sikre i fremtiden.