Подход глубокого обучения при обнаружении вредоносных программ (STAMINA)

Лаборатории Intel и Microsoft Threat Protection Intelligence Teams совместно изучают применение глубокого обучения для обнаружения вредоносных программ. Intel и Microsoft ранее продемонстрировали, что перенос обучения с помощью компьютерного зрения для анализа вредоносного ПО может обеспечить весьма желаемую производительность классификации.

Компании называют проект STAMINA. Основная цель STAMINA (анализ сети STAtic Malware-as-image) состоит в том, чтобы использовать методы глубокого обучения, чтобы избежать трудоемкой ручной разработки признаков с высокой точностью и низким уровнем ложных срабатываний.

Статический анализ — это быстрый и простой способ обнаружения вредоносных программ без запуска приложения или отслеживания поведения во время выполнения. Метод статического анализа используется для сопоставления вредоносных сигнатур.

Предварительная обработка (преобразование изображения)

Изображение получается из двоичного приложения путем присвоения каждому байту значения от 0 до 255, что напрямую соответствует интенсивности пикселя. Результирующий поток 1-D пикселей затем преобразуется в 2-D с помощью таблицы, показанной ниже, которая дает ширину в соответствии с размером файла, высота получается как число пикселей, деленное на ширину. После изменения формы изображения изменяются до 224 или 299 с использованием билинейной интерполяции или алгоритмов ближайшего соседа.

Этап переноса обучения

Из-за ограниченности наборов данных обучение полной глубокой нейронной сети может быть затруднено, поэтому используется трансферное обучение. Идея здесь состоит в том, чтобы заимствовать знания, полученные из модели, используемой в одной области, и применять их к другой целевой области.

Часть слоев замораживается, а последние несколько слоев настраиваются на вновь полученном наборе данных.

Такой подход к классификации вредоносных программ привел к точности до 99% с 2,6% ложноположительным рейтингом. Хотя этот метод является революционным, он все еще находится на ранней стадии. Это чрезвычайно эффективно при анализе небольших файлов, но с большими бинарными файлами STAMINA лагает. Совместное исследование поощряет использование глубокого обучения для целей классификации вредоносных программ.