Microsoft-Intel projesi varez tehditleri azaltmak için view’lere dönüştürüyor

İki endüstri devi, kelimenin tam anlamıyla kötü amaçlı yazılımlarla nasıl mücadele edileceğinin daha net bir resmini elde etmek için çalışıyor. Microsoft-Intel projesi varez tehditleri azaltmak için view’lere dönüştürüyor

Microsoft Tehdit Koruması İstihbarat Ekibi üyeleri, kötü amaçlı kodları tespit etmek için kullanılabilecek kötü amaçlı yazılım örneklerinden görüntüler oluşturmak için Intel Labs temsilcilerine katılmıştır .

Araştırmacılar, görüntü olarak statik kötü amaçlı yazılım ağ analizi (STAMINA) adı verilen bir yaklaşım kullanarak, kötü amaçlı yazılım örneklerini verileri gri tonlamalı görüntülere dönüştüren bir programa besler. Daha sonra örnekleri iyi huylu ve kötü amaçlı kodu ayırt etmek için kullanılabilecek yapısal kalıplar için analiz ederler ve daha sonra kötü niyetli şüphelileri tehdit derecesine göre sıralarlar.

Çalışma, Intel’in statik kötü amaçlı yazılım sınıflandırması için derin transfer öğrenimi üzerine daha önceki çalışmalarına dayanıyordu. Derin öğrenme, makine öğrenmesine, kendi kendine öğrenen akıllı bilgisayar ağlarına dayanan yapay zekanın bir bileşenidir.

Statik analiz, kod yürütmek veya çalışma zamanı davranışını izlemek zorunda kalmadan kötü amaçlı yazılım algılamaya izin verir.

Araştırmacılar, Microsoft’un Defender güvenlik sistemi aracılığıyla toplanan büyük çaplı kötü amaçlı yazılım kodu veri kümesinden yararlanarak, kötü amaçlı yazılımları ve “düşük yanlış pozitifleri” tespit etmede “yüksek doğruluk” elde ettiklerini söylüyor.

Statik analizde, 8 Mayıs’ta STAMINA hakkındaki güvenlik blogunda yayınlanan Microsoft raporuna göre, tehditlerin çoğu tetiklenmeden önce tespit edildi.

Raporda, “Statik analiz genellikle geleneksel algılama yöntemleriyle ilişkili olsa da” diyor, “AI tarafından yönlendirilen kötü amaçlı yazılım algılaması için önemli bir yapı taşı olmaya devam ediyor. Özellikle yürütme öncesi algılama motorları için kullanışlıdır: statik analiz kodu uygulamaları çalıştırmanız veya çalışma zamanı davranışını izlemeniz gerekir. “

Çalışma üç adımdan oluşmaktadır: görüntü dönüştürme, aktarım öğrenme ve değerlendirme. Piksel dönüştürme ve yeniden boyutlandırma içeren bir işlemde, 2.2 milyon virüslü dosyadan alınan kötü amaçlı yazılım kodu iki boyutlu görüntülere dönüştürüldü. Bir sonraki adım, algılanan kötü amaçlı yazılımlar hakkında elde edilen bilgileri, benzer şekilde yapılandırılmış tanımlanamayan koda uygulamak için transfer öğrenimini kullandı. Son adım değerlendirme oldu.

Raporda, STAMINA programının kötü niyetli örnekleri belirleme ve kategorilere ayırma konusunda yüzde 2,6’dan fazla bir doğruluk elde ettiği ve yanlış pozitif oranı yüzde 2,6 olduğu belirtiliyor.

Intel tarafından dağıtılan bir teknik incelemede araştırmacılar şöyle açıklıyor: “Kötü amaçlı yazılım varyantları büyümeye devam ettikçe, geleneksel imza eşleştirme teknikleri devam edemiyor. Pahalı özellik mühendisliğinden kaçınmak için derin öğrenme tekniklerini uygulamaya çalıştık ve öğrenmek için makine öğrenim tekniklerini kullandık. zararlı yazılım program ikili dosyalarını etkili bir şekilde tanımlayabilir sınıflandırma sistemleri oluşturmak.

Şimdilik, program daha küçük dosya boyutlarıyla en iyi şekilde çalışır.

Raporda, “Daha büyük boyutlu uygulamalar için milyarlarca pikseli JPEG görüntülerine dönüştürme ve daha sonra yeniden boyutlandırma konusundaki sınırlamalar nedeniyle STAMINA daha az etkili oluyor” diyor.

Microsoft Defender, ilk olarak Windows XP ile sunulan bir casus yazılımdan koruma programı olarak başladı ve daha sonra Windows 10’da bulunan Windows Güvenlik paketinin bir parçası olarak tam bir virüsten koruma ve kötü amaçlı yazılımdan koruma sistemine genişledi. 2018’de yapılan bir çalışmada, önde gelen casus yazılım araştırma laboratuvarı AV-TEST, Defender’ın kötü niyetli URL örneklerinin yüzde 100’ünü ve üç yanlış pozitif tespit oranı elde ettiğini buldu.