Как Positive Technologies выстроила многоуровневую защиту от вредоносного ПО?
PT Sandbox получила нейросеть ByteDog, которая проверяет подозрительные файлы без запуска и анализирует содержимое прямо на уровне байтов. По данным Positive Technologies, новый ML-движок позволил находить на десять процентов больше угроз при статической проверке и на два процента больше при поведенческом анализе.
ByteDog встроили в песочницу PT Sandbox, которая входит в почтовый защитный продукт PT Email Security. При статическом анализе модель изучает исполняемый файл как последовательность байтов и выдает вердикт, опасен объект или нет. Песочница может использовать ML-движок параллельно с классическим анализатором и антивирусами, поэтому подозрительный файл получает дополнительную проверку до запуска в изолированной среде.
Раньше машинное обучение в PT Sandbox применялось только при поведенческом анализе. Песочница запускала подозрительные объекты в виртуальной среде, файлы генерировали сетевой трафик, а ML-модуль проверял полученные данные. После интеграции ByteDog часть проверки перенесли в статический анализ, где файл можно изучить без выполнения кода.
В Positive Technologies заявляют, что ByteDog не требует ручной подготовки правил под новые разновидности вредоносного ПО. Модель анализирует байтовое представление файла, ищет аномальные признаки и помогает выявлять неизвестные угрозы. Классические инструменты статического анализа работают иначе: проверяют файлы по заранее заданным правилам и признакам.
Во время внутреннего тестирования ByteDog обнаружила аномалии, которые пропускали другие движки, сообщили в компании. Разработчики считают, что дальнейшее увеличение мощности модели может повысить эффективность обнаружения в три-пять раз. По данным Positive Technologies, новый механизм не требует заметно больших аппаратных ресурсов по сравнению с привычными инструментами анализа.
Директор по разработке продуктов Positive Technologies Дмитрий Сучков сообщил, что PT Sandbox стала первым продуктом компании с нейросетью ByteDog. По словам Сучкова, интеграция ML-движка расширяет статическую проверку за пределы правил и помогает искать аномалии в файлах до запуска в песочнице.
Сейчас ByteDog анализирует исполняемые файлы Windows и Linux. Позднее модель планируют обучить работе с другими типами объектов. Нейросеть представлена в бета-режиме, а включение функциональности проходит через техподдержку вендора.