Вы когда-нибудь думали, что можете обнаружить и классифицировать вредоносное ПО, визуализировав его? Что ж, теперь ты можешь. Исследователи из Microsoft и Intel недавно заявили об использовании техники глубокого обучения для обнаружения и идентификации существования вредоносное вредоносное ПО путем анализа изображений.
Проект известен как STAMINA: статический сетевой анализ вредоносного ПО как изображения. Недавно найденная техника работает в системе, основанной на изображениях. Он преобразует вредоносное ПО в изображения в оттенках серого, а затем сканирует и анализирует его структурные и текстурные шаблоны на предмет вредоносных программ.
Процесс работает, принимая двоичную форму входного файла и преобразовывая его в поток необработанных данных пикселей, которые затем преобразуются в изображение. Затем обученная нейронная сеть изучает ее, чтобы проверить наличие любого инфекционного элемента.
ZDNet заявил, что ИИ STAMINA основан на установщиках Защитника Windows, собранных Microsoft. Далее он заявил, что, поскольку большие вредоносные программы могут легко преобразовываться в огромные изображения, этот метод не зависит от сложных попиксельных реакций вирусов.
Несколько ограничений STAMINA
Итак, Stamina смогла обнаружить вредоносное ПО с показателем успеха 99,07 процента, а показатель ложных срабатываний упал до уровня 2,6 процента.
Этот метод невероятно хорошо работает с файлами меньшего размера, но его эффективность снижается с файлами большего размера. Большие файлы содержат больший объем пикселей, что требует более высоких возможностей сжатия, выходящих за пределы постоянного диапазона Stamina.
Чтобы выразить это простым языком для вас «Эффективность результатов STAMINA снижается для файлов большего размера».
Читать далее: Вредоносное ПО Android «Unkillable» дает хакерам полный удаленный доступ к вашему телефону
Процесс преобразования вредоносного ПО в образ
По мнению исследователей Intel, весь процесс состоит из нескольких простых шагов:
- На первом этапе возьмите входной файл и преобразуйте его двоичную форму в необработанные данные пикселей.
- Затем двоичные файлы входного файла преобразуются в поток пикселей. Затем каждому байту файла присваивается интенсивность пикселей. Значение байта находится в диапазоне от 0 до 255.
- Затем одномерные пиксельные данные преобразуются в двухмерное изображение. Размер файла определяет ширину и высоту каждого изображения.
- Затем изображение анализируется и изучается алгоритмом изображения и глубокой нейронной сетью STAMINA.
- Сканирование определяет, является ли изображение чистым или зараженным вредоносными программами.
В основу исследования Microsoft легла 2,2 млн зараженных хэшей переносимых исполняемых файлов. Помимо этого, Intel и Microsoft обучили свой алгоритм DNN, используя 60% образцов известных вредоносных программ, 20% были развернуты для проверки и проверки DNN, а оставшиеся 20% файлов примеров были использованы для фактического тестирования.
Недавние усилия и инвестиции Microsoft в методы машинного обучения могут сформировать будущее обнаружения вредоносных программ. Основываясь на успехе STAMINA, исследователи безопасности ожидают, что метод глубокого обучения уменьшит изменения в цифровых угрозах и обеспечит безопасность ваших устройств в будущем.