微軟與英特爾一同致力防毒 AI 化,將惡意程式轉換成可降低安全威脅的圖像
兩大科技產業巨頭正在努力將如何對抗惡意軟體的更清晰輪廓描繪出來。微軟威脅防護情報團隊(Threat Protection Intelligence Team)成員與英特爾實驗室(Intel Labs)代表攜手合作,研究如何從惡意程式樣本建立可偵測惡意程式碼的圖像。
研究人員使用稱為「靜態惡意軟體即圖像網路分析」(Static Malware-as-Image Network Analysis,STAMINA)的方法,將惡意軟體樣本餵送能將資料轉換成灰階圖像的程式。他們接著分析結構式特徵碼(可用來區分良性程式碼與惡意程式碼)的樣本,然後再按威脅程度排序這些惡意軟體。
運用深度遷移學習,威脅能在觸發前就被偵測到
這項研究依賴於英特爾早期針對靜態惡意軟體分類的深度遷移學習(Deep Transfer Learning)研究作業。深度學習是 AI 人工智慧的組成部分,AI 依賴能自我學習的機器學習及智慧電腦網路。靜態分析允許惡意軟體偵測,而不必執行程式碼或監視執行時間行為。
研究人員表示,藉助微軟透過 Defender 安全系統收集的大量惡意軟體程式碼資料集,使他們達到偵測惡意軟體的「高準確度」與「低誤報率」。根據微軟 5 月 8 日發表關於 STAMINA 的安全部落格報告顯示,透過靜態分析,大多數威脅能在觸發前就偵測到。
「雖然靜態分析通常與傳統的偵測方法有關聯,」報告指出:「但仍是 AI 導向惡意軟體偵測的重要組成,特別適用執行前偵測引擎:靜態分析可在不需執行應用程式或監控執行時間行為的情況下,就能反組譯程式碼。」
取代傳統特徵碼比對技術,準確率超過 99%
這項研究包括 3 步驟:圖像轉換、遷移學習和評估。包括畫素轉換和調整大小的過程,從 220 萬個受感染檔案提取的惡意軟體程式碼轉換成二維圖像。下一步是透過遷移學習將在一項任務偵測惡意軟體的相關知識套用到類似結構的未知程式碼。最後一步則是評估。報告同時指出,STAMINA 程式辨識和分類惡意軟體樣本的準確率超過 99%,誤報率也只有 2.6%。
(Source:英特爾)
英特爾的白皮書,研究人員解釋:「隨著惡意軟體變種的不斷增長,傳統的特徵碼比對技術已經跟不上。我們尋求深度學習技術的應用,以避免昂貴的特徵工程(Feature Engineering),並使用機器學習技術學習和構建有效辨識惡意軟體程式二進位檔的分類系統。」
目前程式在運行較小文件時表現最佳。「對更大的應用軟體,STAMINA 由於將數十億畫素轉換成 JPEG 圖像並調整大小時有許多限制,出現效率不彰的情形。」報告指出。
Microsoft Defender 最初是搭配 Windows XP 一起提供的反間諜軟體程式,後來擴展成完整的防毒與反惡意軟體系統,並成為 Windows 10 內建「Windows安全性」(Windows Security)套件的一部分。2018 年的研究中,領先的間諜軟體研究實驗室 AV-TEST 發現,Defender 對惡意 URL 樣本的偵測率達 100%,誤報率只有 3 個。
(首圖來源:shutterstock)