Специалисты двух техногигантов Microsoft и Intel разработали новый подход к детектированию вредоносных программ. Ключевыми особенностями этого подхода стали глубокое обучение и представление вредоносов в виде графических изображений.
Технология Microsoft и Intel получила имя «STAtic Malware-as-Image Network Analysis» (коротко — STAMINA), в её основе лежит предыдущая работа Intel по классификации вредоносных программ.
Специалисты разработали STAMINA вокруг исследования бинарных файлов зловредов, представленных в виде изображения в градациях серого. В процессе эксперты выяснили, что между таким изображениями вредоносных программ одного семейства есть определённое структурное сходство.
По аналогии: существуют такие же различия между вредоносами разных семейств, а также, что немаловажно, между злонамеренными и безобидными программами.
В посвящённой STAMINA статье специалисты утверждают, что классический метод детектирования вредоносов с помощью сигнатур со временем затрудняется непрерывным увеличением количества образцов вредоносного кода.
STAMINA включает четыре шага: предварительная обработка (конвертация изображения), обучение (transfer learning), оценка и интерпретация.
Первый шаг подразумевает преобразование пикселей (каждый байт получает значение между 0 и 255), создание новой формы (пиксели получают два основных значения — ширина и высота) и изменение размера.
Далее в дело вступает машинное обучение, призванное подготовить классификатор вредоносных программ для выполнения выделенных ему функций.
Предпоследний шаг (оценка) требует от исследователей пристального внимания к надёжности метода: процент ложных срабатываний, точность детектирования, F-мера и т. п. По словам специалистов, исследование проводилось на базе Microsoft, содержащей 2,2 млн хешей бинарников вредоносных программ.
Тестирование показало, что STAMINA может обеспечить 99,09% точных детектов. Ложных срабатываний при этом получилось 2,58%. Следует отметить, что новый способ подходит только для приложений малого размера, поскольку STAMINA с трудом сможет конвертировать «миллионы пикселей в JPEG-изображения».
