Új vírusazonosítási módszert mutatott be egy fairfexi startup cég, az Invincea kutatója, Alex Long a Las Vegas-i Black Haton. Az Invincea egy DARPA (Defense Advanced Research Projects Agency) által finanszírozott projektjének keretében kidogozott egy olyan eljárást, amely képek segítségével automatizáltan azonosítot kártevőket. A módszer lényegét a Biztonságportál foglalta össze.

Az Invincea abból indult ki, hogy a vírusok jelentős részéhez tartozik legalább egy ikon. Az ikon legtöbbször csupán arra szolgál, hogy megtévessze a felhasználót. Ha például egy kártevő PDF formátumú dokumentumnak álcázza magát, akkor egy PDF-re utaló ikon felkerül a fertőzött gépre, ami vagy a kártevő mellett vagy annak kódjában jelenik meg.

Az Invincea kétmillió különböző malware-t vizsgált meg ebből a szempontból, és felében talált is legalább egy ikont vagy egy képállomány. Ha pedig így van, akkor érdemes megvizsgálni ezeket is, mert segíthetik-gyorsíthatják az azonosítást.

Kódelemzés helyett képanalízis

A módszer két lépésben azonosítja a károkozót. Az első lépés a képek, ikonok kinyerése és egy képfelismerő eljárás lefuttatása. Ebben a fázisban először szürkeárnyalatosra alakítják és átméretezik a talált ikonokat és képeket, megnövelik a kontrasztjukat, majd bináris vektorrá alakítják. Még ebben a szakaszban generálnak hozzá egy hash értékek is. A hash lényegében a kép ujjlenyomata lesz, amely segít egy speciális összehasonlítási folyamatot lefuttatásában. (Akit a technikai részletek is érdekelnek, egy kattintásnyira bővebben is olvashat a hash előállításáról, illetve szerepéről az azonosításban.)

A második fázis maga a detektálási fázis, amely lényegében képosztályozásra épül. Ehhez a fejlesztők egy kézenfekvő eszközt, a Google Image Search API-t is felhasználták. (Mint azzal korábban többször is foglalkoztunk, a képfelismerésben komoly fejlesztések történtek a keresőóriásnál. Az arcfelismerésben elért eredményekről itt, a mesterséges intelligencia képfelismerésben történő alkalmazásáról pedig itt írtunk bővebben.)

Az új detektálási technológia kidogozásakor sikerült megoldani egy nagyon fontos problémát: a képfeldolgozás erőforrás-igényes, amit az Invincea fejlesztőinek sikerült elfogadható szintre csökkenteni. Ehhez nagy segítség volt a nyílt forráskódú FLANN (Fast Light-Weight Approximation of Nearest Neighbors) könyvtár is, amivel sikerült megoldani, hogy néhány másodperc alatt akár több százezer képet is össze lehessen hasonlítani.

A társított képek árulkodnak

Az Invincea eddigi kutatásai szerint a módszer jó hatásfokkal dolgozik, azaz ha egy kórokozó képet vagy ikont is használ ahhoz, hogy álcázza magát, nagy valószínűséggel azonosítható is. Alex Long a SecurityWeeknek azt mondta, hogy egyes kategóriákban, például hamis szövegszerkesztő ikonoknál nagyon jók az eredmények. Ugyanakkor azt is elismerte, hogy bizonyos malware-típusoknál nem sikerült elfogadható szintre tornázni a felismerési arányt.

Egyelőre úgy tűnik, az új technika nem az eddigi víruskereső eljárások kiváltásában, hanem a károkozók elemzésében, megértésében segít. Abban például, hogy jobb lehessen látni azokat a módszereket, amelyekkel a vírusírók meg akarják téveszteni a felhasználókat.

Bár ez még csak egy kísérleti projekt, később a módszer önállóan vagy kiegészítő technológiaként víruskeresőkbe építve is megjelenhet.