一種稱為靜態(tài)惡意軟件當(dāng)圖像網(wǎng)絡(luò)分析（STAMINA）的方法

微軟威脅防護(hù)情報(bào)團(tuán)隊(duì)的成員已加入英特爾實(shí)驗(yàn)室的代表，利用惡意軟件樣本創(chuàng)建圖像，這些圖像可用于檢測惡意代碼。

研究人員使用一種稱為靜態(tài)惡意軟件當(dāng)圖像網(wǎng)絡(luò)分析（STAMINA）的方法，將惡意軟件樣本輸入程序，該程序?qū)?shù)據(jù)轉(zhuǎn)換為灰度圖像。然后，他們分析樣本的結(jié)構(gòu)模式，這些模式可用于區(qū)分良性代碼和惡意代碼，然后將惡意嫌疑人劃分為威脅程度。

該研究依賴于英特爾在深度移植學(xué)習(xí)中對(duì)靜態(tài)惡意軟件分類的早期工作。深度學(xué)習(xí)是人工智能的組成部分，它依賴于機(jī)器學(xué)習(xí)（即自行學(xué)習(xí)的智能計(jì)算機(jī)網(wǎng)絡(luò)）。

靜態(tài)分析允許惡意軟件檢測，而不必執(zhí)行代碼或監(jiān)視運(yùn)行時(shí)行為。

研究人員說，利用微軟通過Defender安全系統(tǒng)收集的海量惡意軟件代碼數(shù)據(jù)集，他們?cè)跈z測惡意軟件和“低誤報(bào)率”方面取得了“高度準(zhǔn)確性”。

微軟在5月8日發(fā)布在其安全博客上有關(guān)STAMINA的微軟報(bào)告顯示，通過靜態(tài)分析，可以在觸發(fā)大多數(shù)威脅之前將其檢測到。

報(bào)告說：“雖然靜態(tài)分析通常與傳統(tǒng)的檢測方法相關(guān)聯(lián)，但它仍然是AI驅(qū)動(dòng)的惡意軟件檢測的重要組成部分。它對(duì)預(yù)執(zhí)行檢測引擎特別有用：靜態(tài)分析可在不進(jìn)行分析的情況下反匯編代碼必須運(yùn)行應(yīng)用程序或監(jiān)視運(yùn)行時(shí)行為?！?/p>

該研究包括三個(gè)步驟：圖像轉(zhuǎn)換，轉(zhuǎn)移學(xué)習(xí)和評(píng)估。在包括像素轉(zhuǎn)換和調(diào)整大小的過程中，從220萬個(gè)受感染文件中提取的惡意軟件代碼被轉(zhuǎn)換為二維圖像。下一步使用轉(zhuǎn)移學(xué)習(xí)將在一項(xiàng)任務(wù)中獲得的有關(guān)檢測到的惡意軟件的知識(shí)應(yīng)用于類似結(jié)構(gòu)的未識(shí)別代碼。最后一步是評(píng)估。

該報(bào)告指出，STAMINA程序?qū)阂廛浖颖具M(jìn)行識(shí)別和分類的準(zhǔn)確性超過了99%，誤報(bào)率為2.6%。

在英特爾發(fā)布的白皮書中，研究人員解釋說：“隨著惡意軟件變種的不斷增長，傳統(tǒng)的簽名匹配技術(shù)無法跟上。我們尋求應(yīng)用深度學(xué)習(xí)技術(shù)來避免昂貴的功能設(shè)計(jì)，而使用機(jī)器學(xué)習(xí)技術(shù)來進(jìn)行學(xué)習(xí)和使用。建立可以有效識(shí)別惡意軟件程序二進(jìn)制文件的分類系統(tǒng)。”

目前，該程序在較小的文件大小下效果最佳。

報(bào)告說：“對(duì)于更大尺寸的應(yīng)用，STAMINA由于將數(shù)十億像素轉(zhuǎn)換為JPEG圖像然后調(diào)整大小的限制而變得效率較低。”

Microsoft Defender最初是Windows XP最初提供的一個(gè)反間諜軟件程序，后來作為Windows 10附帶的Windows安全包的一部分，已擴(kuò)展為完整的反病毒和反惡意軟件系統(tǒng)。在2018年的一項(xiàng)研究中，領(lǐng)先的間諜軟件研究實(shí)驗(yàn)室AV-TEST發(fā)現(xiàn)Defender達(dá)到了100%的惡意URL樣本檢測率和三個(gè)誤報(bào)。