دو شرکت مایکروسافت و اینتل در راستای رویکرد جدیدی برای شناسایی بدافزارها که شامل یادگیری عمیق و بازنمایی بدافزارها در قالب تصویر است، با یکدیگر همکاری میکنند. این پروژه که تحت عنوان تجزیه و تحلیل شبکهای استاتیک بدافزار بهعنوان تصویر (STAMINA) معرفی شده است، از کارهای قبلی اینتل در مورد طبقهبندی استاتیک بدافزار از طریق یادگیری انتقال عمیق بهره برده و آن را برای تعیین ارزش عملی آن بدافزار، در مجموعهی دادهی دنیای واقعی مایکروسافت اعمال میکند.
این رویکرد مبتنیبر بازرسی باینریهای بدافزار است که بهعنوان تصاویر با مقیاس خاکستری ترسیم شدهاند. این تصاویر، وجود شباهتهای بافتی و ساختاری میان باینریهای مربوط به بدافزارهای یک خانواده و تفاوتهای میان خانوادههای مختلف یا بدافزارها و نرمافزارهای بیخطر را نشان میدهند.
براساس مقالهی سفید منتشرشده برای پروژهی STAMINA، بهدلیل افزایش سریعتر امضاها، رویکرد کلاسیک تشخیص بدافزار که به تطبیق امضا متکی است، دشوارتر شده است، درحالیکه رویکردهای استاتیک و پویا نیز ممکن است دقیق و کارآمد نباشند. بنابراین، در راستای حل این مشکلات، رویکرد STAMINA در قالب چهار مرحله معرفی شده است: پیشپردازش (تبدیل تصویر)، یادگیری انتقال، ارزیابی و تفسیر.
مرحلهی پیشپردازش، خود شامل تبدیل پیکسل (یک جریان پیکسل ایجاد میشود: هر بایت مقداری بین صفر تا ۲۵۵ دریافت میکند که بهصورت مستقیم با شدت پیکسل مرتبط است)، تغییر شکل مجدد (جریانهای پیکسل به دو بعد تبدیل میشوند: عرض و ارتفاع تصویر دو بعدی بعد از تبدیل و با اندازهی فایل تعیین میشوند) و تغییر اندازه (تا ۲۲۴ یا ۲۹۹ اینچ، بهطوریکه مدلهای تصویر آموزش دادهشده در ImageNet برای تنظیم دقیق تصاویر استفاده میشوند) میباشد.
در مرحلهی بعد، یادگیری انتقال برای آموزش طبقهبندی استاتیک بدافزارها مورد استفاده قرار میگیرد. این مرحله، طی مرحلهی پیشپردازش، بر روی تصاویر بدافزارها و نرمافزارهای بیخطر انجام میشود. پس از آن، در مرحلهی ارزیابی، محققان دقت روش خود را با بررسی نرخ مثبت کاذب، صحت، فراخوانی، امتیاز F1 و سطح زیر منحنی عملکرد گیرنده (ROC) ارزیابی میکنند.
در همین راستا، مطالعهای بر روی مجموعهی دادههای مایکروسافت انجام شده که شامل ۲٫۲ میلیون هَش باینری بدافزارها، به همراه ۱۰ ستون اطلاعات دادهها است. نتایج این مطالعه نشان داد که STAMINA میتواند با دقت ۹۹٫۰۷ درصد و نرخ مثبت کاذب ۲٫۵۸ درصد، بدافزارها را شناسایی کند.
بااینحال، رویکرد STAMINA تنها زمانی کاربرد دارد که برای برنامهی با حجم کم به کار رود. در مورد نرمافزارهای حجیمتر، STAMINA چندان مؤثر نیست، زیرا نمیتواند میلیاردها پیکسل را به تصاویر JPEG تبدیل کرده و سپس، اندازهی آنها را تغییر دهد. در چنین شرایطی، روشهای مبتنی بر ابرداده سودمندتر هستند.