速报,微软英特尔联手给恶意软件拍“X光”? – 作者:0day情报局

大家好,我是 零日情报局

本文首发于公众号零日情报局,微信ID:lingriqingbaoju

最近,微软和英特尔合作开展了一个新的安全研究项目——STAMINA(STAtic Malware-as-Image Network Analysis),将未知软件转化为图像,通过图像扫描法进行检测分析。简单点说,就是给疑似恶意软件拍“X光”,然后专家们可以根据这张“X光片”判断是不是真的恶意软件,以及是哪种恶意软件。

 

至于怎么给恶意软件拍X光?我们简单粗暴地描述下整个过程:

 

444.png(STAMINA技术将恶意软件转换图像分析流程)

 

首先,将未知软件转换为简单的01010像素流;

 

接着,按照软件的原始数据流,转换成一张图片,图片尺寸随文件大小而变化;

然后,有了图片版的软件,就可以把他们丢进神经网络(DNN)进行“X光”扫描;

再然后,经过全方位透彻的扫描,图像版软件就被神经网络(DNN)划分为干净和已感染两大类; 

最后,分类完毕之后,就是生成该软件的“X光”分析以及专家后期的人工分析。到这一步就可以确定,可疑软件是不是真恶意软件,以及是什么种类的恶意软件,并提供包括准确性、误报率、召回率、F1分数和接收器工作曲线的详细分析。

 

明白了微软英特尔给可疑恶意软件拍X光的全流程,再说说STAMINA技术把可疑软件从.exe变.jpg中,一个值得注意的隐藏亮点。

 

那就是这种技术处理可疑软件时,不需要全尺寸、逐像素的重建,这对处理大型可疑恶意软件是个好消息,当然现阶段技术还没有完全成熟到这种程度。不过,从目前超过99.07%的分类准确率,以及低于2.6%的误报率来看,STAMINA堪称全能恶意软件“X光扫描机”。

 

22.jpg

(可疑恶意软件重建图片尺寸调整方法)

 

看到这里,那些充满忧患意识的技术从业者,可能已经开始思考STAMINA会不会取代人的长远问题。

 

但零日想告诉你,不能。

 

至于为什么?首先,不可否认STAMINA的出现,改变了以往冗杂且繁琐的可疑恶意软件检测流程,但目前尚在初期阶段,且就算未来成熟,也只是提高人员工作效率罢了。

 

其次,STAMINA的高准确率,是建立在220万个受感染的PE(PortableExecutable)文件哈希样本,说白了准确源自大数据。

 

新.jpg

PE文件示例)

 

智能不等于智慧。说得再通俗一点说,STAMINA能拍可疑恶意软件的“X光”,扫描出全部的数据,甚至确定有没有感染,但最终如何应对,还得靠专业的技术从业者。

 

话说回来,恶意软件检测等技术分析始终都是个抽象的工作。STAMINA把可疑软件变成图片再分析的方式,却把抽象概念变可视的图像内容,是十分具有借鉴意义的。至于这种全新的技术,能不能适应行业,适合未来发展,零日先不表态,实践会检验一切。

 

你看不看好,我们留言区见。

 

 

参考资料:

[1] Intel&Microsoft《STAMINA: Scalable Deep Learning Approach forMalware Classification》


后缀动图.gif

来源:freebuf.com 2020-05-12 20:51:18 by: 0day情报局

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论