معرفی رویکرد STAMINA برای شناسایی بدافزارها توسط مایکروسافت و اینتل

دو شرکت مایکروسافت و اینتل در راستای رویکرد جدیدی برای شناسایی بدافزارها که شامل یادگیری عمیق و بازنمایی بدافزارها در قالب تصویر است، با یکدیگر همکاری می‌کنند. این پروژه که تحت عنوان تجزیه و تحلیل شبکه‌ای استاتیک بدافزار به‌عنوان تصویر (STAMINA) معرفی شده است، از کارهای قبلی اینتل در مورد طبقه‌بندی استاتیک بدافزار از طریق یادگیری انتقال عمیق بهره برده و آن را برای تعیین ارزش عملی آن بدافزار، در مجموعه‌ی داده‌ی دنیای واقعی مایکروسافت اعمال می‌کند.

این رویکرد مبتنی‌بر بازرسی باینری‌های بدافزار است که به‌عنوان تصاویر با مقیاس خاکستری ترسیم شده‌اند. این تصاویر، وجود شباهت‌های بافتی و ساختاری میان باینری‌های مربوط به بدافزارهای یک خانواده و تفاوت‌های میان خانواده‌های مختلف یا بدافزارها و نرم‌افزارهای بی‌خطر را نشان می‌دهند.

براساس مقاله‌ی سفید منتشرشده برای پروژه‌ی STAMINA، به‌‌دلیل افزایش سریع‌تر امضاها، رویکرد کلاسیک تشخیص بدافزار که به تطبیق امضا متکی است، دشوارتر شده است، درحالی‌که رویکردهای استاتیک و پویا نیز ممکن است دقیق و کارآمد نباشند. بنابراین، در راستای حل این مشکلات، رویکرد STAMINA در قالب چهار مرحله معرفی شده است: پیش‌پردازش (تبدیل تصویر)، یادگیری انتقال، ارزیابی و تفسیر.

مرحله‌ی پیش‌پردازش، خود شامل تبدیل پیکسل (یک جریان پیکسل ایجاد می‌شود: هر بایت مقداری بین صفر تا ۲۵۵ دریافت می‌کند که به‌صورت مستقیم با شدت پیکسل مرتبط است)، تغییر شکل مجدد (جریان‌های پیکسل به دو بعد تبدیل می‌شوند: عرض و ارتفاع تصویر دو بعدی بعد از تبدیل و با اندازه‌ی فایل تعیین می‌شوند) و تغییر اندازه (تا ۲۲۴ یا ۲۹۹ اینچ، به‌طوری‌که مدل‌های تصویر آموزش داده‌شده در ImageNet برای تنظیم دقیق تصاویر استفاده می‌شوند) می‌باشد.

در مرحله‌ی بعد، یادگیری انتقال برای آموزش طبقه‌بندی استاتیک بدافزارها مورد استفاده قرار می‌گیرد. این مرحله، طی مرحله‌ی پیش‌پردازش، بر روی تصاویر بدافزارها و نرم‌افزارهای بی‌خطر انجام می‌شود. پس از آن، در مرحله‌ی ارزیابی، محققان دقت روش خود را با بررسی نرخ مثبت کاذب، صحت، فراخوانی، امتیاز F1 و سطح زیر منحنی عملکرد گیرنده (ROC) ارزیابی می‌کنند.

در همین راستا، مطالعه‌ای بر روی مجموعه‌ی داده‌های مایکروسافت انجام شده که شامل ۲٫۲ میلیون هَش باینری بدافزارها، به همراه ۱۰ ستون اطلاعات داده‌ها است. نتایج این مطالعه نشان داد که STAMINA می‌تواند با دقت ۹۹٫۰۷ درصد و نرخ مثبت کاذب ۲٫۵۸ درصد، بدافزارها را شناسایی کند.

بااین‌حال، رویکرد STAMINA تنها زمانی کاربرد دارد که برای برنامه‌ی با حجم کم به کار رود. در مورد نرم‌افزارهای حجیم‌تر، STAMINA چندان مؤثر نیست، زیرا نمی‌تواند میلیاردها پیکسل را به تصاویر JPEG تبدیل کرده و سپس، اندازه‌ی آن‌ها را تغییر دهد. در چنین شرایطی، روش‌های مبتنی بر ابرداده سودمندتر هستند.

منبع

Related posts

Leave a Comment

4 × 3 =