Microsoft и Intel упростят идентификацию вредоносного ПО путём его преобразования в изображения

Стало известно о том, что специалисты компаний Microsoft и Intel занимаются совместной разработкой нового метода идентификации вредоносного программного обеспечения. В основе метода лежит глубокое обучение и система представления вредоносного ПО в виде графических изображений в градациях серого.

Источник сообщает, что исследователи Microsoft из аналитической группы по защите от угроз совместно с коллегами из Intel изучают возможность использования глубокого обучения для борьбы с вредоносным ПО. Разрабатываемая система получила название STAtic Malware-as-Image Network Analysis, или STAMINA. Система обрабатывает бинарные файлы вредоносного ПО, представленные в виде монохромных изображений. Исследователи установили, что такие изображения вредоносов одного семейства имеют структурные сходства, а значит, текстурные и структурные шаблоны можно анализировать и идентифицировать как доброкачественные или вредоносные.

Трансформация бинарных файлов в изображения начинается с назначения каждому байту значения от 0 до 255, соответствующее интенсивности цвета пикселя. После этого пиксели получают два основных значения, характеризующие ширину и высоту. Кроме того, размер файла используется для определения ширины и высоты конечного изображения. После этого исследователи задействовали технологии машинного обучения, благодаря которым был создан классификатор вредоносного ПО, который используется в процессе анализа.

STAMINA тестировалась с использованием 2,2 млн исполняемых файлов. Исследователи установили, что точность идентификации вредоносного кода достигает 99,07%. При этом количество ложных срабатываний зафиксировано в 2,58% случаев, что в целом является достаточно хорошим результатом.

Для идентификации более сложных угроз статический анализ может использоваться в сочетании с динамическим и поведенческим анализом, что позволит создавать более комплексные системы обнаружения угроз.

© 3DNews