Microsoft i Intel imaju novi pristup otkrivanju zlonamjernog softvera

· Sanja Ledinek

ms_intel_stamina_1

Nesumnjivo, zlonamjerni softver je podjednako problem za sve uređaje bilo da se radi o stolnim ili prijenosnim računalima, pametnim telefonima, televizorima, tabletima ili bilo kojim drugim uređajima.

Najnovije vijesti u borbi protiv zlonamjernog softvera dolaze nam iz Microsofta i Intela. Imaju potpuno novi pristup klasifikaciji, pretvarajući zlonamjerni kod u 2D sliku. Temelj je opažanje da ako su binarni programi zlonamjernog softvera crtani kao sive slike, strukturni obrasci mogu se koristiti za učinkovito klasificiranje binarnih datoteka kao benigne ili zlonamjerne, kao i združivanje zlonamjernih binarnih datoteka u odgovarajuće obitelji prijetnji.

Istraživači su koristili pristup koji su nazvali statičkom analizom mreže zlonamjernog softvera kao slike (STAMINA). Koristeći Microsoftove skupove podataka, studija je pokazala da STAMINA pristup postiže visoku točnost u otkrivanju zlonamjernog softvera s niskim lažnim pozitivnim rezultatima.

Iako se statička analiza obično povezuje s tradicionalnim metodama otkrivanja, ona i dalje predstavlja važan sastavni blok za AI otkrivanje zlonamjernog softvera bez potrebe za pokretanjem aplikacija ili nadgledanjem izvođenja.

Statička analiza stvara metapodatke o datoteci. Strojno razvrstavanje na klijentu i u oblaku zatim analizira metapodatke i utvrđuje je li datoteka zlonamjerna. Za složenije prijetnje, dinamička analiza i analiza ponašanja grade se na statičkoj analizi kako bi se pružile više značajki i izgradila opsežnija detekcija. Pronalaženje načina za provođenje statičke analize u mjerilu i s visokom učinkovitošću koristi ukupnim metodologijama otkrivanja zlonamjernog softvera.

Analiziranje zlonamjernog softvera predstavljenog kao slika

Da bi se utvrdila praktičnost STAMINA pristupa, koji određuje da se zlonamjerni softver može klasificirati na ljestvici provođenjem statičke analize kodova zlonamjernog softvera predstavljenim kao slike, studija je obuhvatila tri glavna koraka: pretvorbu slike, prijenos učenja i evaluaciju.

ms_intel_stamina_2

Dijagram koji prikazuje korake za STAMINA pristup: predobrada, prijenos učenja i evaluacija

Prvo, istraživači su pripremili binarne zapise pretvarajući ih u dvodimenzionalne slike. Ovaj korak uključuje pretvaranje, preoblikovanje i promjenu veličine piksela. Binari su pretvoreni u jednodimenzionalni tok piksela dodjeljivanjem vrijednosti svakog bajta između 0 i 255, što odgovara intenzitetu piksela. Svaki tok piksela transformiran je u dvodimenzionalnu sliku koristeći veličinu datoteke za određivanje širine i visine slike.

Drugi je korak bio korištenje transfernog učenja, tehnike za prevladavanje izolirane paradigme učenja i korištenjem znanja stečenog za jedan zadatak za rješavanje srodnih problema. Ubrzava vrijeme obuke zaobilazeći potrebu traženja optimiziranih hiperparametara i različitih arhitektura – a sve to uz održavanje visokih performansi u klasifikaciji. Za ovu studiju, istraživači su koristili Inception-v1 kao osnovni model.

Studija je provedena na skupu podataka o 2,2 milijuna heševa PE datoteka koje je osigurao Microsoft. Ovaj je skup podataka vremenski podijeljen u segmente 60:20:20 za trening, validaciju i testne skupove.

ms_intel_stamina_3

Dijagram koji pokazuje DNN nije unaprijed uvjetovao utezima prirodnih slika, posljednji dio je prilagodio nove podatke

Konačno, učinkovitost sustava bila je izmjerena i izviještena na testnom setu. Uhvaćeni mjerni podaci uključuju opoziv u određenom lažno pozitivnom rasponu, s točnošću, ocjenom F1 i površinom ispod krivulje rada prijemnika (ROC).

Zajedničko istraživanje pokazalo je da je primjena STAMINA na skupu podataka o testiranju u stvarnom svijetu postigla opoziv od 87,05% pri 0,1 % lažne pozitivne stope, a 99,66 % opoziva i 99,07 % točnosti na 2,58 % ukupne lažne pozitivne stope. Rezultati svakako potiču upotrebu učenja dubokog prijenosa u svrhu klasifikacije zlonamjernog softvera. Pomaže u ubrzanju treninga zaobilazeći pretragu optimalnih hiperparametara i pretraživanja arhitekture, štedi vrijeme i izračunava resurse u procesu.

Studija također naglašava prednosti i nedostatke metoda na temelju uzorka poput STAMINA i metoda klasifikacije temeljenih na metapodacima. Na primjer, STAMINA može detaljno pregledati uzorke i izvući dodatne signale koji možda neće biti zabilježeni u metapodacima. No, za veće aplikacije , STAMINA postaje manje učinkovita zbog ograničenja pretvaranja milijardi piksela u JPEG slike, a zatim njihove veličine. U takvim slučajevima metode temeljene na metapodacima pokazuju prednosti u odnosu na  ova istraživanja.

Microsoft i Intel planiraju daljnju suradnju na optimizacijama ubrzanja platforme koje mogu omogućiti primjenu modela dubokog učenja na klijentskim strojevima s minimalnim učinkom na performanse.

DRUGE NOVOSTI