Глубокое обучение поможет в обнаружении вредоносных программ

Глубокое обучение поможет в обнаружении вредоносных программ

Исследователи из Microsoft и Intel совместно разработали проект STAMINA.

Корпорации Microsoft и Intel используют глубинное обучение и нейронную сеть для обнаружения вредоносных программ. Проект STAMINA (STAtic Malware-as-Image Network Analysis) преобразовывает образцы вредоносных программ в двухмерные изображения в градациях серого, которые можно анализировать на основе их уникальных критериев.

Исследователи из двух компаний совместно разработали новый подход к обнаружению вредоносных программ. Microsoft предоставила проекту STAMINA более 2 млн зараженных файлов: 60% выборок были использованы для обучения алгоритма глубокой нейронной сети (DNN), 20% были использованы для проверки DNN, а оставшиеся 20% были использованы для проверки эффективности STAMINA. Команда достигла показателя точности в 99,07% в обнаружении и классификации образцов вредоносного ПО, при этом показатель ложных срабатываний составил всего 2,58%.

«Как правило, глубокие нейронные сети сложно настроить. Здесь использование проверенных в боях архитектур нейронных сетей, таких как Inception (для таких задач, как классификация изображений), позволяет нам использовать трансферное обучение, которое снижает нагрузку на обучение глубокой нейронной сети с нуля», — пояснил специалист Рави Сахита из Intel.

Использование технологий глубокого обучения обеспечивает более широкое понимание и позволяет классифицировать вредоносное ПО в соответствии со скоростью и масштабом вредоносного ПО, которое может быть создано с помощью автоматизированных методов, помогая экспертам по безопасности отфильтровать шум и сосредоточиться на угрозах, представляющих наибольший риск.

Однако данный тип систем также имеет некоторые проблемы. В зависимости от используемой архитектуры нейронной сети стоимость обучения и логического вывода может быть выше, чем у традиционных, более легких методов обнаружения вредоносных программ.

STAMINA также не способен «видеть» аспекты вредоносного ПО, которые могут быть обнаружены только во время выполнения, такие как расшифровка полезных данных в памяти или нежелательная активность (вымогательское ПО). Для решения данной проблемы Intel работает над перспективным исследованием подходов, устойчивых к противодействию, извлечением телеметрии из шаблонов выполнения, а также телеметрии ЦП. Дополнительные информационные потоки могут быть объединены с методами глубокого обучения для устранения слепых зон для лучшей классификации вредоносных программ.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.