A Microsoft és az Intel kutatási projektje egyelőre inkább érdekesség, mint gyakorlati haszonnal kecsegtető fejlesztés.

Közösen keres új, mesterséges intelligenciát (MI) alkalmazó eljárásokat a malware-ek elemzésére az Intel és a Microsoft. A csipgyártó a közelmúltban publikált egy tanulmányt a közös STAMINA projektjükről (a név a STAtic Malware-as-Image Network Analysis kifejezésből alkotott betűszó).

Malware-ből fotó

Az eljárás szó szerint értelmezi a malware-mintákat, és lényegében a kódból egy olyan szürkeárnyalatos képet készítenek, amivel egy normál képelemző MI-algoritmus is képes felismerni jellegzetes mintákat, amik a program jellegére (hasznos–káros) utalnak. Az ötlet az Intel egy korábbi kutatásából nőtt ki. A csipgyártó azt vizsgálta, hogyan lehet alkalmazni az MI-alapú számítógépes látást a malware-ek azonosítására, besorolására, és ehhez a Microsoft adatkészleteit használta.

Az előfeltevés az volt – ami egyébként a kutatók megfigyelésén alapult –, hogy ha a bináris fájlokat szürkeárnyalatos képként ábrázolják, akkor a texturális és a szerkezeti minták alapján el lehet dönteni, hogy az adott program jóindulatú vagy rosszindulatú, illetve utóbbi esetben melyik károkozócsaládba tartozik. A kutatás ezt a tapasztalatot szerette volna tudományos módszerekkel igazolni.

És hogy mindjárt le is lőjük a poént: bebizonyította. Sőt azt is, hogy a módszer nagyon jól működik. Mint a Microsoft írja vállalati blogjában a STAMINA nagyon alacsony arányban ad álpozitív (fals pozitív) eredményriasztások.

Ez alapvetően statikus elemzés. Ugyanolyan, mint a metaadatokra épülő vizsgálat, melyek során nem futás közben ellenőrzik a kódot, hanem egy algoritmussal először metaadatokat állítanak elő belőle, és maga az algoritmus csak a metaadatokat vizsgálja. Ez az ellenőrzés fontos eleme a biztonsági rendszereknek, mivel így még az előtt ki tudják szűrni a veszélyes kódokat, mielőtt azok bármit is tudnának csinálni. (Ezért fontos, hogy minél kevesebb álpozitív eredményt adjon egy ilyen vizsgálat, mert olyan kódokat is blokkolhat, melyek nem károsak, és szükségesek a rendszer optimális működéséhez).

Pontosabb a metadatokra építő módszernél

A STAMINA porjektben a kutatók először a bináris fájlokat kétdimenziós szürkeárnyalatos képekké konvertálták. Ez két lépésben történt: először létrehoztak a kódból egy egydimenziós pixelfolyamot oly módon, hogy minden bájthoz 0 és 255 közötti értéket rendeltek, ez adta a pixelek intenzitását. Ezután a pixelfolyamot átalakították kétdimenziós szürkeárnyalatos képpé, aminek a szélességét és magasságát a fájl mérete alapján határozták meg. A képeket át is méretezték kisebbre, hogy a képfelismerő MI gyorsabban tudjon dolgozni. A kutatók szerint ugyanis ez nem befolyásolta érdembe a felismerés pontosságát.

Így lesz a malware-ből az MI által elemezhető kép

(Forrás: Microsoft)

A második lépés a gépi látásban máshol már bevált mélytanulási modellek alkalmazása. Mint a Microsoft írja, a már működő, betanított modellek használata nagymértékben le tudja rövidíteni az új feladattal kapcsolatos képzési időt.

A STAMINA legfőbb erénye az volt, hogy nagyon alacsony volt a vakriasztások (az álpozitív eredmények) aránya a vadon élő károkozók esetében is, ráadásul az azonosításban nagyon nagy pontosságot ért el.

A módszernek azonban van előnye és hátránya is a metaadatokra épülő módszerrel szemben. Előnye, hogy alaposabban tudja vizsgálni a mintákat szerkezetét, azaz olyasmit is felismerhet, amit a metaadatra épülő módszerek nem (mert például nincs rá metaadat). Ugyanakkor nagyobb méretű alkalmazása esetén lassú, mert a STAMINA nem tud elég gyorsan milliárdnyi pixelt jpeg-be konvertálni és átméretezni.

Biztonság

Így néz ki a tízszarvúak új toplistája

A május végi adatok alapján már 24 olyan startup működik világszerte, amelynek értékelése a 10 milliárd dollárt is meghaladja, közöttük mindössze egyetlen európai vállalkozással.
 
Hirdetés

Ingyenesen tesztelhető a MasterCloud, a felhőszolgáltatások új generációja

A Servergarden új terméke az ország legnagyobb teljesítménysűrűségű, ultramodern adatközpontjában szolgálja ki a stabil, jövőálló megoldásokat kereső vállalkozásokat.

A tavaly elfogadott új Wi-Fi szabványtól az ipar is sokat vár. Terjedésének csak jót tesz a közben berobbant 5G.

a melléklet támogatója a TP-Link Magyarország

Hirdetés

Sikeresen befejeződött a magyarországi GSM-R hálózat kiépítésének I. fázisa

A két geo-redundáns GSM-R központhoz kapcsolódó több mint 150 kültéri és 30 beltéri bázisállomás mintegy 1000 km hosszú vasútvonalat fed le.

Nem általában a távmunkáé, hanem a mostani tipikus távmunka-helyzeteké. A szervezetek arra nem voltak felkészülve, hogy mindenki otthonról dolgozik.

Alapjaiban kell megújítani a biztonságról kialakított felfogásunkat

Mi köze az IBM licencszerződések apró betűs kitételeinek ahhoz, hogy a Microsoft Windows Server 2008 életciklusának végéhez ér? Rogányi Dániel (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.