RELATEED CONSULTING
免费使用
下列产品全部免费使用
服务时间:9:30-18:00
你可能遇到了下面的问题
关闭右侧工具栏
微软和英特尔将深度学习和像素技术相结合来消除恶意软件
  • 发表时间:2020-08-20 19:12
  • 来源:数度域

微软和英特尔的研究人员找到了一种方法,将人工智能和图像分析结合起来,创造出一种高效的方法来对抗恶意软件感染。

研究人员称他们的方法为“耐力”——静态恶意软件图像网络分析——并表示这种方法被证明在检测恶意软件时非常有效,误报率很低。

耐力所做的是将二进制文件转换成图像,人工智能软件可以使用“深度学习”进行分析。

总部位于东京的网络安全解决方案提供商趋势科技(trend micro)负责云研究的副总裁马克·努尼克霍文(mark nunnikhoven)表示:“耐力是对恶意软件进行分类的一种迷人方法。”

他告诉technewsworld:“这种方法就像绘制一个大的数据表。”“在图表中发现模式可能比梳理原始数据更容易。”

nunnikhoven说,通过使用普通的图像分析机器学习方法,研究小组能够将恶意软件样本分组,并区分出想要的软件和恶意软件。

他补充说:“这不是唯一的机器学习方法,但它是一个充满潜力的新的有趣的方法。”

nunnikhoven指出,这种方法的最大缺点与恶意软件的规模有关。“因为这种技术将恶意软件转换成图像,所以它会很快占用大量资源。”如果你曾经尝试在一台旧电脑上打开一张很大的照片,你会有亲身经历这些挑战。”

99%的准确度

“随着恶意软件变种的不断增长,传统的签名匹配技术已经跟不上了,”英特尔研究人员李晨和拉维·萨希塔以及微软研究人员朱加尔·帕里克和马克·马里诺在一份白皮书中解释道。

他们写道:“我们希望应用深度学习技术来避免昂贵的功能工程,并使用机器学习技术来学习和建立分类系统,可以有效地识别恶意软件程序二进制文件。”

“我们在x86程序二进制文件上探索了一种新颖的基于映像的技术,”他们继续说道,“该技术的准确率为99.07%,误报率为2.58%。”

经典的恶意软件检测方法包括提取恶意软件的二进制签名或指纹。然而,研究人员解释说,签名的指数增长使得签名匹配效率低下。

恶意软件也可以通过分析文件代码来识别。这通常通过静态或动态分析来完成,或者两者都进行。静态分析可以反汇编代码,但是它的性能会受到代码混淆的影响。他们指出,动态分析虽然能够解开代码,但可能很耗时。

微软的帕里克和马里诺在另一篇关于耐力的文章中写道:“虽然静态分析通常与传统的检测方法有关,但它仍然是人工智能驱动的恶意软件检测的重要组成部分。”

他们指出:“它对执行前检测引擎特别有用:静态分析无需运行应用程序或监控运行时行为就能反汇编代码。”

parikh和marino指出:“找到大规模高效执行静态分析的方法有利于整体恶意软件检测方法。”

他们解释道:“为此,该研究借用了计算机视觉领域的知识,构建了一个增强的静态恶意软件检测框架,该框架利用深度传输学习直接在表示为图像的可移植可执行(pe)二进制文件上进行训练。”

更好的缩放,更快的处理

“长期以来,传统的恶意软件分析技术的效率一直在下降,”位于丹佛的云安全服务提供商red canary的首席产品官chris rothe观察到。

他告诉technewsworld:“静态和动态分析是有效的,但可能难以衡量。”“这种方法的好处之一是,它可以利用其他领域的技术,这些技术能够大规模运行。”

rothe继续说:“这是必要的,因为爆炸的二进制样本已创建的攻击者变异恶意软件,以避免检测。”“因此,如果这种技术能够奏效,它将使二进制分析重新成为一种可行的威胁检测方法。”

微软-英特尔方法还减少了分析系统的输入量,这可以转化为更快的处理。

位于都柏林的专业服务公司埃森哲(accenture)的美国安全研发负责人马利克本塞勒姆(malek ben salem)表示:“如果你将一个二进制文件转换成像素,那么随之而来的是一定数量的输入缩减。”

“有了耐力,他们走得更远。他们将二进制文件转换成像素,然后缩小图像的尺寸。”

本塞勒姆说:“事实上,你可以减少输入的大小,并将其输入到一个深度学习的网络,这意味着你可以处理更多的信息。”“您可以查看更多的恶意软件实例,这将大大加快速度。”

对人眼来说很容易

虽然研究人员看到他们的方法被用于一个完全自动化的环境中,但这些图像对人类安全类型也很有价值。

本塞勒姆指出:“如果一台机器不能确定一个文件是否是良性的,需要人工检查,人类会发现它更容易与一个图像比hexcode。”

在检测过程中加入深度学习也比现有技术有优势。

本塞勒姆说:“通过深度学习模式,你可以处理复杂的数据。”“这意味着恶意软件的微小变化比我们目前使用的经典机器学习方法更容易检测出来。”

研究人员承认他们的方法有局限性。

他们在白皮书中写道:“我们的研究指出了基于样本的方法和基于元数据的方法的优缺点。”

研究人员解释说:“最大的好处是我们可以深入样本并提取纹理信息,这样恶意软件文件的所有特征都可以在训练中被捕获。”

他们继续说:“然而,对于更大尺寸的应用程序,由于软件不能将数十亿像素转换成jpeg图像,然后再调整大小,因此耐力变得不那么有效。”在这种情况下,基于元数据的方法比基于样本的模型更有优势

将来,该团队希望使用二进制文件的中间表示和从二进制文件中提取的信息,通过深入的学习方法来评估混合模型。这些数据集预计会更大,但可能会提供更高的精度。

研究人员计划继续为他们的深度学习模型探索平台加速优化,这样他们可以部署这种检测技术,而对最终用户的功耗和性能影响最小。

微软和英特尔将深度学习和像素技术相结合来消除恶意软件 相关的文章:

  • 微软旨在提升美国中心地带的互联网连接
  • 微软提供新的开源人工智能框架
  • 微观时刻的营销制胜策略
  • 英特尔的假冒5g奥运万福玛利亚
  • 如何颠覆微型电子商务公司
  • 有助于微调目标的营销合作伙伴关系