Подход за задълбочено обучение при откриване на зловреден софтуер (STAMINA)

Intel Labs и Microsoft Threat Protection Intelligence Teams си сътрудничат, за да проучат приложението на задълбочено обучение за откриване на заплахи от зловреден софтуер. Intel и Microsoft по-рано демонстрираха, че прехвърлянето на обучение от компютърно зрение за анализ на злонамерен софтуер може да постигне силно желана класификационна производителност.

Компаниите наричат ​​проекта STAMINA. Основната цел на STAMINA (STAtic Malware-as-image Network Analysis) е да се използват техники за задълбочено обучение, за да се избегне отнемащото време ръчно инженерство на функции с висока точност и малко фалшиви положителни резултати.

Статичният анализ е бърз и лесен начин за откриване на злонамерен софтуер, без да се изпълнява приложението или да се следи поведението по време на изпълнение, техниката за статичен анализ се използва за съпоставяне на злонамерени подписи.

Предварителна обработка (преобразуване на изображение)

Изображение се получава от двоично приложение чрез присвояване на стойност между 0–255 на всеки байт, което директно съответства на интензитета на пикселите. Полученият 1-D пикселен поток след това се преобразува в 2-D с помощта на таблица, показана по-долу, която дава ширина според размера на файла, височината се получава от брой пиксели, разделени на ширина. След преоформяне изображенията се преоразмеряват до 224 или 299 с помощта на билинейна интерполация или алгоритми за най-близък съсед.

Стъпка на прехвърляне на обучение

Поради ограничението на наборите от данни, обучението на пълна дълбока невронна мрежа може да бъде трудно, поради което се използва трансферно обучение. Идеята тук е да се заемат знания, научени от модел, използван в една област, и да се приложат към друга целева област.

Част от слоевете са замразени и последните няколко слоя се настройват фино върху новополучен набор от данни.

Този подход на класификация на зловреден софтуер доведе до точност до 99% с 2,6% фалшиво положителна оценка. Въпреки че тази техника е революционна, тя все още е в ранен етап. Той е изключително ефективен при анализиране на малки файлове, но с големи двоични файлове STAMINA изостава. Съвместното изследване насърчава използването на дълбоко трансферно обучение за целите на класификацията на зловреден софтуер.