微软和英特尔的项目将恶意软件转换为图像再进行分析

3wthx · 发表于 2020-5-11 17:11:57

本帖最后由 whvirus 于 2020-5-11 19:37 编辑

微软和英特尔最近合作开展了一个新的研究项目，探索了一种新的检测和分类恶意软件的方法。

该项目被称为STAMINA（STAtic Malware-as-Image Network Analysis），该项目依靠一种新技术将恶意软件样本转换为灰度图像，然后对图像进行扫描，以获取恶意软件样本特有的纹理和结构模式。

STAMINA实际是如何工作的

英特尔-微软的研究团队表示，整个过程遵循了几个简单的步骤。首先是取一个输入文件并将其二进制形式转换为原始像素数据流。

然后，研究人员把这个一维（1D）像素流转成二维照片，让正常的图像分析算法对其进行分析。

根据输入文件的大小选择了图像的宽度，使用下表中的表格。高度是动态的，是将原始像素流除以所选的宽度值后的结果。

在将原始像素流组装成一张看起来很正常的二维图像后，研究人员随后将生成的照片进行了调整，将其大小调整到一个较小的维度。

英特尔和微软的团队表示，调整原始图像的大小并没有 "对分类结果产生负面影响"，这是一个必要的步骤，这样计算资源就不用再去处理由数十亿像素组成的图像了，这很可能会减慢处理速度。

然后将残留图像送入预训练的深度神经网络(DNN)，该网络扫描图像(恶意软件菌株的二维表示)，并将其分类为干净或感染。

微软表示，它提供了220万个受感染的PE（Portable Executable）文件哈希值样本作为研究的基础。

研究人员利用已知恶意软件样本中的60%用于训练原始DNN算法，20%的文件用于验证DNN，另外20%用于实际测试过程。

研究团队表示，STAMINA在识别和分类恶意软件样本的准确率达到了99.07%，假阳性率为2.58%。

"这一结果无疑鼓励了深度学习在恶意软件分类中的应用，"代表微软威胁防护智能团队参与研究的两位微软研究人员Jugal Parikh和Marc Marino表示。

微软在机器学习方面的投资

这项研究是微软近期利用机器学习技术改进恶意软件检测的一部分。

STAMINA使用了一种叫做深度学习的技术。深度学习是机器学习(ML)的一个子集，它是人工智能(AI)的一个分支，指的是智能计算机网络，能够从以非结构化或非标签化格式存储的输入数据中自主学习 -- 在本例中，是随机的恶意软件二进制文件。

微软表示，虽然STAMINA在处理较小的文件时准确、快速，但在处理较大的文件时就会出现问题。

"对于较大尺寸的应用程序，STAMINA在将数十亿像素转换为JPEG图像，然后重新调整大小的限制，使得STAMINA变得不那么有效，"微软在上周的一篇博客文章中说。

不过，这很可能并不重要，因为该项目只适用于小文件，效果非常好。

在本月早些时候接受ZDNet的采访时，微软威胁防护部安全研究总监Tanmay Ganacharya表示，微软现在严重依赖机器学习来检测新出现的威胁，而这个系统使用的机器学习模块与客户系统或微软服务器上部署的机器学习模块不同。

Ganacharya表示，微软现在使用了客户端机器学习模型引擎、云端机器学习模型引擎、捕捉行为序列或捕捉文件本身内容的机器学习模块。

根据报告的结果，STAMINA很可能是那些ML模块中的一个，我们可能很快就会看到微软实现的ML模块作为一种发现恶意软件的方法。

目前，微软能够让这种方法比其他公司更有效，主要是因为它从数以亿计的Windows Defender安装中掌握了大量的数据。

"任何人都可以建立一个模型，但标签化的数据以及这些数据的数量和质量，确实有助于适当地训练机器学习模型，从而定义了它们的有效性。"Ganacharya说。

"而在微软，我们有这个优势，因为我们确实有传感器，通过电子邮件、通过身份识别、通过终端给我们带来了很多有趣的信号，并且能够将它们结合起来。"

		自动登录	找回密码
密码			立即注册！

账号		自动登录	找回密码
密码			立即注册

	系统消息：动象论坛祝大家2025新年快乐~愿大家年年皆欢愉，岁岁皆可期！（PS：这行文字可以点击哦~）	12-31 23:03
	系统消息：尊敬的用户，动象论坛的邮件系统已经完美修复，您现在可以顺利使用自助注册和找回密码功能了。万分感谢你对动象论坛的喜爱与支持~	06-10 15:28
	系统消息：很抱歉的通知您，当前论坛的邮件系统暂时出现故障，因此自助注册和找回密码的功能将无法使用。如有任何需要，您可以直接添加客服QQ：230273459进行人工操作。对此给您带来的不便，我们深感歉意。	06-10 09:11
	admin：动象论坛祝大家端午快乐~悠悠粽草，人间芳华，年年岁岁皆如愿，岁岁年年长安康。	06-10 09:09
	系统消息：动象论坛祝大家高考加油~	06-09 15:13
	系统消息：各位坛友，由于“两会”封网原因，动象论坛服务中止了约一个星期，对于由此给您造成的麻烦我们感到万分抱歉。	03-18 23:04
	admin：动象论坛在这里祝大家2024龙年新年快乐～	02-09 14:58
	系统消息：论坛端口问题已经解决~您可以直接访问论坛域名mcmc.ltd（www.mcmc.ltd）啦~（Tips：如访问时提示“连接被重置”报错，请清空您的DNS缓存与浏览器缓存。）	02-05 19:14
	系统消息：论坛预计今天晚间将端口问题修复完成，请留意论坛动态，感谢您对动象论坛的支持~	02-05 14:06
	系统消息：动象论坛目前正在紧急迁移服务器，目前请您先访问https://mcmc.ltd:150。论坛正在全力找CDN以修复端口问题，由此给您造成影响亿常抱歉。。	02-05 11:23
	系统消息：动象论坛祝大家2024年新年快乐吖~祝大家前路浩浩荡荡，万事皆可期待~	12-31 22:41
	系统消息：动象论坛拟于7月20日至7月21日进行服务器迁移和域名更换，届时论坛服务将暂时不可用。对此给您带来的麻烦，我们感到十分抱歉。	07-18 19:51
	Mozilla：hello world	07-04 17:39
	系统消息：高考倒计时2天！动象论坛祝大家2023高考完胜！加油！！！！！！	06-04 23:44
	神秘人：	03-21 07:20
	系统消息：向各位论坛坛友公开一下，我们现在吸收了@luoying2334 为论坛管理团队成员，管理讨论区、软件分享区和得闲饮茶区。如您有任何质疑，请您在【意见与建议】版块发帖，感谢您的支持~	03-20 23:23
	admin：论坛没啥人气啊emmm，欢迎大家来推荐退荐～	03-12 22:34
	luoying2334：	02-05 11:11
	luoying2334：给我学狗叫啊，三回啊三回	02-05 11:11
	Civilmafia：追尾黑色高级车	02-04 14:27

小喇叭+ 发布

微软和英特尔的项目将恶意软件转换为图像再进行分析

最佳新人

灌水之王