Стана известно, че специалисти от Microsoft и Intel съвместно разработват нов метод за идентифициране на зловреден софтуер. Методът се основава на дълбоко обучение и система за представяне на зловреден софтуер под формата на графични изображения в сива скала.
Източникът съобщава, че изследователи на Microsoft от Threat Defense Intelligence Group работят с колеги от Intel, за да проучат възможността за използване на дълбоко обучение за борба със зловреден софтуер. Системата, която се разработва, се нарича СТАТИЧЕН мрежов анализ на зловреден софтуер като изображение или STAMINA. Системата обработва двоични файлове със зловреден софтуер, представени под формата на монохромни изображения. Изследователите откриха, че такива изображения на злонамерен софтуер от едно и също семейство имат структурни прилики, което означава, че текстурните и структурните модели могат да бъдат анализирани и идентифицирани като доброкачествени или злонамерени.
Трансформирането на двоични файлове в изображения започва с присвояване на всеки байт на стойност от 0 до 255, съответстваща на интензитета на цвета на пиксела. След това пикселите получават две основни стойности, които характеризират ширината и височината. Освен това размерът на файла се използва за определяне на ширината и височината на крайното изображение. След това изследователите са използвали технологии за машинно обучение, за да създадат класификатор на зловреден софтуер, който се използва в процеса на анализ.
STAMINA беше тествана с помощта на 2,2 милиона изпълними файла. Изследователите са установили, че точността на идентифициране на зловреден код достига 99,07%. В същото време броят на фалшивите положителни резултати е регистриран в 2,58% от случаите, което като цяло е доста добър резултат.
За идентифициране на по-сложни заплахи статичният анализ може да се използва в комбинация с динамичен и поведенчески анализ за създаване на по-изчерпателни системи за откриване на заплахи.
Източник: 3dnews.ru