Глубокое обучение поможет в обнаружении вредоносных программ

Глубокое обучение поможет в обнаружении вредоносных программ

Исследователи из Microsoft и Intel совместно разработали проект STAMINA.

image

Корпорации Microsoft и Intel используют глубинное обучение и нейронную сеть для обнаружения вредоносных программ. Проект STAMINA (STAtic Malware-as-Image Network Analysis) преобразовывает образцы вредоносных программ в двухмерные изображения в градациях серого, которые можно анализировать на основе их уникальных критериев.

Исследователи из двух компаний совместно разработали новый подход к обнаружению вредоносных программ. Microsoft предоставила проекту STAMINA более 2 млн зараженных файлов: 60% выборок были использованы для обучения алгоритма глубокой нейронной сети (DNN), 20% были использованы для проверки DNN, а оставшиеся 20% были использованы для проверки эффективности STAMINA. Команда достигла показателя точности в 99,07% в обнаружении и классификации образцов вредоносного ПО, при этом показатель ложных срабатываний составил всего 2,58%.

«Как правило, глубокие нейронные сети сложно настроить. Здесь использование проверенных в боях архитектур нейронных сетей, таких как Inception (для таких задач, как классификация изображений), позволяет нам использовать трансферное обучение, которое снижает нагрузку на обучение глубокой нейронной сети с нуля», — пояснил специалист Рави Сахита из Intel.

Использование технологий глубокого обучения обеспечивает более широкое понимание и позволяет классифицировать вредоносное ПО в соответствии со скоростью и масштабом вредоносного ПО, которое может быть создано с помощью автоматизированных методов, помогая экспертам по безопасности отфильтровать шум и сосредоточиться на угрозах, представляющих наибольший риск.

Однако данный тип систем также имеет некоторые проблемы. В зависимости от используемой архитектуры нейронной сети стоимость обучения и логического вывода может быть выше, чем у традиционных, более легких методов обнаружения вредоносных программ.

STAMINA также не способен «видеть» аспекты вредоносного ПО, которые могут быть обнаружены только во время выполнения, такие как расшифровка полезных данных в памяти или нежелательная активность (вымогательское ПО). Для решения данной проблемы Intel работает над перспективным исследованием подходов, устойчивых к противодействию, извлечением телеметрии из шаблонов выполнения, а также телеметрии ЦП. Дополнительные информационные потоки могут быть объединены с методами глубокого обучения для устранения слепых зон для лучшей классификации вредоносных программ.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.