两大科技产业巨头正在努力将如何对抗恶意软体的更清晰轮廓描绘出来。微软威胁防护情报团队(Threat Protection Intelligence Team)成员与英特尔实验室(Intel Labs)代表携手合作,研究如何从恶意程式样本建立可侦测恶意程式码的图像。
研究人员使用称为「静态恶意软体即图像网路分析」(Static Malware-as-Image Network Analysis,STAMINA)的方法,将恶意软体样本餵送能将资料转换成灰阶图像的程式。他们接着分析结构式特徵码(可用来区分良性程式码与恶意程式码)的样本,然后再按威胁程度排序这些恶意软体。
运用深度迁移学习,威胁能在触发前就被侦测到
这项研究依赖于英特尔早期针对静态恶意软体分类的深度迁移学习(Deep Transfer Learning)研究作业。深度学习是 AI 人工智慧的组成部分,AI 依赖能自我学习的机器学习及智慧电脑网路。静态分析允许恶意软体侦测,而不必执行程式码或监视执行时间行为。
研究人员表示,藉助微软透过 Defender 安全系统收集的大量恶意软体程式码资料集,使他们达到侦测恶意软体的「高準确度」与「低误报率」。根据微软 5 月 8 日发表关于 STAMINA 的安全部落格报告显示,透过静态分析,大多数威胁能在触发前就侦测到。
「虽然静态分析通常与传统的侦测方法有关联,」报告指出:「但仍是 AI 导向恶意软体侦测的重要组成,特别适用执行前侦测引擎:静态分析可在不需执行应用程式或监控执行时间行为的情况下,就能反组译程式码。」
取代传统特徵码比对技术,準确率超过 99%
这项研究包括 3 步骤:图像转换、迁移学习和评估。包括画素转换和调整大小的过程,从 220 万个受感染档案提取的恶意软体程式码转换成二维图像。下一步是透过迁移学习将在一项任务侦测恶意软体的相关知识套用到类似结构的未知程式码。最后一步则是评估。报告同时指出,STAMINA 程式辨识和分类恶意软体样本的準确率超过 99%,误报率也只有 2.6%。
英特尔的白皮书,研究人员解释:「随着恶意软体变种的不断增长,传统的特徵码比对技术已经跟不上。我们寻求深度学习技术的应用,以避免昂贵的特徵工程(Feature Engineering),并使用机器学习技术学习和构建有效辨识恶意软体程式二进位档的分类系统。」
目前程式在运行较小文件时表现最佳。「对更大的应用软体,STAMINA 由于将数十亿画素转换成 JPEG 图像并调整大小时有许多限制,出现效率不彰的情形。」报告指出。
Microsoft Defender 最初是搭配 Windows XP 一起提供的反间谍软体程式,后来扩展成完整的防毒与反恶意软体系统,并成为 Windows 10 内建「Windows安全性」(Windows Security)套件的一部分。2018 年的研究中,领先的间谍软体研究实验室 AV-TEST 发现,Defender 对恶意 URL 样本的侦测率达 100%,误报率只有 3 个。
- Microsoft-Intel project converts malware into images to cut threats
