微軟威脅防護情報團隊的成員已加入英特爾實(shí)驗室的代表，利用惡意軟件樣本創(chuàng )建圖像，這些圖像可用于檢測惡意代碼。

研究人員使用一種稱(chēng)為靜態(tài)惡意軟件當圖像網(wǎng)絡(luò )分析(STAMINA)的方法，將惡意軟件樣本輸入程序，該程序將數據轉換為灰度圖像。然后，他們分析樣本的結構模式，這些模式可用于區分良性代碼和惡意代碼，然后將惡意嫌疑人劃分為威脅程度。

該研究依賴(lài)于英特爾在深度移植學(xué)習中對靜態(tài)惡意軟件分類(lèi)的早期工作。深度學(xué)習是人工智能的組成部分，它依賴(lài)于機器學(xué)習(即自行學(xué)習的智能計算機網(wǎng)絡(luò ))。

靜態(tài)分析允許惡意軟件檢測，而不必執行代碼或監視運行時(shí)行為。

研究人員說(shuō)，利用微軟通過(guò)Defender安全系統收集的海量惡意軟件代碼數據集，他們在檢測惡意軟件和“低誤報率”方面取得了“高度準確性”。

微軟在5月8日發(fā)布在其安全博客上有關(guān)STAMINA的微軟報告顯示，通過(guò)靜態(tài)分析，可以在觸發(fā)大多數威脅之前將其檢測到。

報告說(shuō)：“雖然靜態(tài)分析通常與傳統的檢測方法相關(guān)聯(lián)，但它仍然是AI驅動(dòng)的惡意軟件檢測的重要組成部分。它對預執行檢測引擎特別有用：靜態(tài)分析可在不進(jìn)行分析的情況下反匯編代碼必須運行應用程序或監視運行時(shí)行為。”

該研究包括三個(gè)步驟：圖像轉換，轉移學(xué)習和評估。在包括像素轉換和調整大小的過(guò)程中，從220萬(wàn)個(gè)受感染文件中提取的惡意軟件代碼被轉換為二維圖像。下一步使用轉移學(xué)習將在一項任務(wù)中獲得的有關(guān)檢測到的惡意軟件的知識應用于類(lèi)似結構的未識別代碼。最后一步是評估。

該報告指出，STAMINA程序對惡意軟件樣本進(jìn)行識別和分類(lèi)的準確性超過(guò)了99%，誤報率為2.6%。

在英特爾發(fā)布的白皮書(shū)中，研究人員解釋說(shuō)：“隨著(zhù)惡意軟件變種的不斷增長(cháng)，傳統的簽名匹配技術(shù)無(wú)法跟上。我們尋求應用深度學(xué)習技術(shù)來(lái)避免昂貴的功能設計，而使用機器學(xué)習技術(shù)來(lái)進(jìn)行學(xué)習和使用。建立可以有效識別惡意軟件程序二進(jìn)制文件的分類(lèi)系統。”

目前，該程序在較小的文件大小下效果最佳。

報告說(shuō)：“對于更大尺寸的應用，STAMINA由于將數十億像素轉換為JPEG圖像然后調整大小的限制而變得效率較低。”

Microsoft Defender最初是Windows XP最初提供的一個(gè)反間諜軟件程序，后來(lái)作為Windows 10附帶的Windows安全包的一部分，已擴展為完整的反病毒和反惡意軟件系統。在2018年的一項研究中，領(lǐng)先的間諜軟件研究實(shí)驗室AV-TEST發(fā)現Defender達到了100%的惡意URL樣本檢測率和三個(gè)誤報。