Microsoft und Intel erstellen Images, um Malware zu erkennen

0

Microsoft und Intel arbeiten gemeinsam an einem neuen Ansatz zur Klassifizierung von Malware – indem sie diese visualisieren.

Derzeit arbeiten sie an STAMINA (Static Malware-as-Image Network Analysis), mit der unerwünschter Code in Graustufenbilder umgewandelt wird, sodass ein Deep-Learning-System sie untersuchen kann. Dadurch wird die Eingabedatei in ein einfaches Bild mit unterschiedlichen Abmessungen konvertiert, abhängig von Aspekten wie der Dateigröße.

LESEN SIE AUCH: Chinesische Rakete versagt und fällt nach nur einer Woche im Orbit auf die Erde zurück

Laut einem Bericht von ZDNet wird dabei eine trainierte künstliche Intelligenz (KI) verwendet, um festzustellen, ob eine Datei infiziert wurde. Es ist darauf trainiert, eine große Menge von Daten zu verfolgen, die Microsoft aus Windows Defenders-Installationen gesammelt hat. Die Technologie erfordert keine Neuerstellung von Viren in voller Größe und Pixel, wodurch große Malware in gigantische Bilder umgewandelt wird.

Derzeit arbeitet STAMINA laut einem Bericht in Engadget effektiv mit kleinen Dateien mit einer Genauigkeit von bis zu 99% bei der Klassifizierung von Malware und einer Falsch-Positiv-Rate von etwa 2,6%. Es hat jedoch Probleme mit größeren Dateien, obwohl es bei weiteren Verbesserungen sehr nützlich sein könnte.

Die meisten Malware-Erkennungen basieren auf dem Extrahieren von Binärsignaturen, aber die hohe Anzahl von Signaturen macht die Methode unpraktisch. Dies könnte dazu beitragen, dass Anti-Malware-Tools effektiv Schritt halten und die Wahrscheinlichkeit verringern, dass Sicherheitsbedrohungen an den Abwehrmechanismen vorbeigehen.

Der gesamte Prozess ist einfach. Zunächst wird eine Eingabedatei erstellt und in ihre Binärform in einen Strom von Rohpixeldaten konvertiert.

Die Forscher würden dann diesen eindimensionalen Pixelstrom in ein 2D-Foto umwandeln, damit normale Bildanalysealgorithmen ihn analysieren können.

Die Breite des Bildes basiert auf der Größe der Eingabedatei, während die Höhe dynamisch ist. Dies ergibt sich aus der Division des Rohpixelstroms durch den ausgewählten Breitenwert.

Nach dem Zusammensetzen des Rohpixelstroms zu einem normal aussehenden 2D-Bild haben die Forscher die Größe des resultierenden Fotos auf eine kleinere Größe geändert.

Das Ändern der Größe des Rohbilds wirkt sich nicht „negativ auf das Klassifizierungsergebnis aus“, was erforderlich war, sodass Rechenressourcen nicht mit Milliarden von Pixeln arbeiten müssen, die den Prozess verlangsamen.

Diese Bilder wurden dann in ein Deep Neural Network (DNN) eingespeist, das darauf trainiert ist, die 2D-Darstellung des Malware-Stammes zu scannen und als sauber oder infiziert zu klassifizieren. Für die Schulung hat Microsoft 2,2 Millionen Proben infizierter tragbarer ausführbarer Dateien als Forschungsgrundlage bereitgestellt.

Die Forscher verwendeten 60% der bekannten Malware-Beispiele, um den ursprünglichen DNN-Algorithmus zu trainieren, 20% der Dateien, um den DNN zu validieren, und die anderen 20% für den eigentlichen Testprozess.

Das Forschungsteam sagte, STAMINA habe eine Genauigkeit von 99,07% bei der Identifizierung und Klassifizierung von Malware-Beispielen erreicht, mit einer False-Positive-Rate von 2,58%.

LESEN SIE AUCH: [HACKERS] Millionen von PCs mit Intel Thunderbolt-Fehlern sind anfällig für Hacking. Thunderspy Attack dauert nur fünf Minuten

“Die Ergebnisse fördern zweifellos die Verwendung von Deep Transfer Learning für die Klassifizierung von Malware”, so Jugal Parikh und Marc Marino, die beiden Forscher des Microsoft Threat Protection Intelligence Team, die an der Studie teilgenommen haben.

Anfang dieses Monats erklärte Tanmay Ganacharya, Direktor für Sicherheitsforschung bei Microsoft Threat Protection, gegenüber ZDNet, dass der Technologieriese jetzt auf maschinelles Lernen zur Erkennung von Malware setzt. Dies ist dieselbe Software, die auf Kundensystemen oder Microsoft-Servern bereitgestellt wird.

Insgesamt ist STAMINA eines dieser ML-Module, die in Kürze bei Microsoft implementiert werden, um Malware zu erkennen.

Ganacharya sagte, dass zwar jeder ein Modell erstellen kann, die Qualität und Quantität der gekennzeichneten Daten jedoch bestimmen, wie effektiv das Modell sein wird.

„[We]Bei Microsoft ist dies von Vorteil, da wir Sensoren haben, die uns viele interessante Signale per E-Mail, Identität, Endpunkt und in der Lage sind, diese zu kombinieren “, sagte Ganacharya.

Lesen Sie auch: Millionen von PCs sind aufgrund der Thunderbolt-Fehler von Intel anfällig für praktisches Hacken

Share.

Comments are closed.