一種稱為靜態(tài)惡意軟件當(dāng)圖像網(wǎng)絡(luò)分析（STAMINA）的方法

微軟威脅防護情報團隊的成員已加入英特爾實驗室的代表，利用惡意軟件樣本創(chuàng)建圖像，這些圖像可用于檢測惡意代碼。

研究人員使用一種稱為靜態(tài)惡意軟件當(dāng)圖像網(wǎng)絡(luò)分析（STAMINA）的方法，將惡意軟件樣本輸入程序，該程序?qū)?shù)據(jù)轉(zhuǎn)換為灰度圖像。然后，他們分析樣本的結(jié)構(gòu)模式，這些模式可用于區(qū)分良性代碼和惡意代碼，然后將惡意嫌疑人劃分為威脅程度。

該研究依賴于英特爾在深度移植學(xué)習(xí)中對靜態(tài)惡意軟件分類的早期工作。深度學(xué)習(xí)是人工智能的組成部分，它依賴于機器學(xué)習(xí)（即自行學(xué)習(xí)的智能計算機網(wǎng)絡(luò)）。

靜態(tài)分析允許惡意軟件檢測，而不必執(zhí)行代碼或監(jiān)視運行時行為。

研究人員說，利用微軟通過Defender安全系統(tǒng)收集的海量惡意軟件代碼數(shù)據(jù)集，他們在檢測惡意軟件和“低誤報率”方面取得了“高度準(zhǔn)確性”。

微軟在5月8日發(fā)布在其安全博客上有關(guān)STAMINA的微軟報告顯示，通過靜態(tài)分析，可以在觸發(fā)大多數(shù)威脅之前將其檢測到。

報告說：“雖然靜態(tài)分析通常與傳統(tǒng)的檢測方法相關(guān)聯(lián)，但它仍然是AI驅(qū)動的惡意軟件檢測的重要組成部分。它對預(yù)執(zhí)行檢測引擎特別有用：靜態(tài)分析可在不進行分析的情況下反匯編代碼必須運行應(yīng)用程序或監(jiān)視運行時行為?！?/p>

該研究包括三個步驟：圖像轉(zhuǎn)換，轉(zhuǎn)移學(xué)習(xí)和評估。在包括像素轉(zhuǎn)換和調(diào)整大小的過程中，從220萬個受感染文件中提取的惡意軟件代碼被轉(zhuǎn)換為二維圖像。下一步使用轉(zhuǎn)移學(xué)習(xí)將在一項任務(wù)中獲得的有關(guān)檢測到的惡意軟件的知識應(yīng)用于類似結(jié)構(gòu)的未識別代碼。最后一步是評估。

該報告指出，STAMINA程序?qū)阂廛浖颖具M行識別和分類的準(zhǔn)確性超過了99%，誤報率為2.6%。

在英特爾發(fā)布的白皮書中，研究人員解釋說：“隨著惡意軟件變種的不斷增長，傳統(tǒng)的簽名匹配技術(shù)無法跟上。我們尋求應(yīng)用深度學(xué)習(xí)技術(shù)來避免昂貴的功能設(shè)計，而使用機器學(xué)習(xí)技術(shù)來進行學(xué)習(xí)和使用。建立可以有效識別惡意軟件程序二進制文件的分類系統(tǒng)?！?/p>

目前，該程序在較小的文件大小下效果最佳。

報告說：“對于更大尺寸的應(yīng)用，STAMINA由于將數(shù)十億像素轉(zhuǎn)換為JPEG圖像然后調(diào)整大小的限制而變得效率較低?！?/p>

Microsoft Defender最初是Windows XP最初提供的一個反間諜軟件程序，后來作為Windows 10附帶的Windows安全包的一部分，已擴展為完整的反病毒和反惡意軟件系統(tǒng)。在2018年的一項研究中，領(lǐng)先的間諜軟件研究實驗室AV-TEST發(fā)現(xiàn)Defender達(dá)到了100%的惡意URL樣本檢測率和三個誤報。