您现在的位置是:首页 > 科技网站首页科技

微软和英特尔项目在分析恶意软件之前将其转换成图像

  • 科技
  • 2020-05-12 09:36:53
  • 来源:

微软和英特尔最近合作了一个新的研究项目,探索了一种新的方法来检测和分类恶意软件。

该项目名为STAMINA(Static Malware-as-Image Net work Analysis),它依赖于一种新技术,将恶意软件样本转换为灰度图像,然后扫描图像以恶意软件样本特有的纹理和结构模式。

英特尔-微软研究团队说,整个过程遵循了几个简单的步骤。 第一种方法是获取输入文件并将其二进制形式转换为原始像素数据流。

然后,研究人员拍摄了这种一维(1D)像素流,并将其转换为二维照片,以便正常的图像分析算法能够对其进行分析。

根据输入文件的大小选择图像的宽度,使用下表。 高度是动态的,这是由于将原始像素流除以所选择的宽度值。

在将原始像素流组装成正常的二维图像后,研究人员将得到的照片调整到更小的尺寸。

英特尔和微软团队表示,调整原始图像的大小并不会“对分类结果产生负面影响”,这是必要的一步,这样计算资源就不必与由数十亿像素组成的图像一起工作,这很可能会减缓处理速度。

然后将驻留的图像输入预先训练的深度神经网络(DNN),该网络扫描图像(恶意软件菌株的2D表示)并将其归类为干净或感染。

微软表示,它提供了220万个感染PE(便携式可执行文件)的样本作为研究的基础。

研究人员使用60%的已知恶意软件样本来训练原始的DNN算法,20%的文件来验证DNN,其他20%用于实际测试过程。

该研究小组表示,STAMINA在识别和分类恶意软件样本方面的准确率为99.07%,误报率为2.58%。

“研究结果肯定鼓励将深度转移学习用于恶意软件分类,”Jugal Parikh和Marc Marino说,他们是代表微软威胁保护情报小组参与研究的两名微软研究人员.

这项研究是微软最近利用机器学习技术改进恶意软件检测的一部分。

STAMINA使用了一种叫做深度学习的技术。 深度学习是机器学习(ML)的一个子集,是人工智能(AI)的一个分支,它指的是智能计算机网络,能够自己从存储在非结构化或未标记格式的输入数据中学习-在这种情况下,是随机恶意软件二进制文件。

微软说,虽然STAMINA在处理较小的文件时是准确和快速的,但它对较大的文件感到困惑。

微软上周在一篇博客文章中说:“对于规模更大的应用程序,由于将数十亿像素转换为JPEG图像并调整其大小的限制,STAMINA变得不那么有效。”

然而,这很可能不重要,因为该项目只能用于小文件,并取得了优异的结果。

在本月早些时候接受ZDNet的采访时,微软威胁保护安全研究主任TanmayGanacharya说,微软现在在很大程度上依赖机器学习来检测新出现的威胁,这个系统使用的是正在部署在客户系统或微软服务器上的不同的机器学习模块。

Ganacharya说,微软现在使用客户端机器学习模型引擎、云端机器学习模型引擎、机器学习模块来捕获行为序列或捕获文件本身的内容。

根据报告的结果,STAMINA可能是非常好的ML模块之一,我们可能很快会看到在微软实现作为一种方法来发现恶意软件。

目前,微软可以使这种方法比其他公司更好地工作,主要是因为它拥有数亿WindowsDefender安装的数据。

Ganacharya说:“任何人都可以建立一个模型,但是标记的数据、数量和质量确实有助于适当地训练机器学习模型,从而确定它们的有效性。”

“而我们微软公司的优势在于,我们确实有传感器,通过电子邮件、身份、端点以及能够将它们组合在一起,给我们带来很多有趣的信号。”

Top