Des chercheurs de l'équipe Microsoft Threat Protection Intelligence et d'Intel Labs se sont réunis pour travailler sur un nouveau projet de recherche qui a utilisé une nouvelle approche pour détecter et classifier les logiciels malveillants.
Le projet, appelé STAtic Malware-as-Image Network Analysis (STAMINA), a utilisé une nouvelle technique pour convertir les échantillons de logiciels malveillants en images en niveaux de gris qui ont ensuite été analysés pour rechercher des modèles de texture et de structure spécifiques aux échantillons de logiciels malveillants connus.
Au cours de la première partie de leur collaboration, les chercheurs se sont appuyés sur les travaux antérieurs d'Intel sur l'apprentissage par transfert approfondi pour la classification statique des logiciels malveillants et ont utilisé un ensemble de données réelles de Microsoft pour mieux comprendre la valeur pratique de l'approche de la classification des logiciels malveillants en tant que tâche de vision par ordinateur.
L'approche STAMINA fait valoir que les logiciels malveillants peuvent être classés à grande échelle en effectuant une analyse statique sur les codes de logiciels malveillants représentés sous forme d'images.
Sommaire
Transformer les logiciels malveillants en images
Les chercheurs ont d'abord préparé les fichiers binaires malveillants en les convertissant en images bidimensionnelles à l'aide de la conversion, du remodelage et du redimensionnement des pixels. Les binaires ont ensuite été convertis en un flux de pixels unidimensionnel en attribuant à chaque octet une valeur comprise entre 0 et 255 qui correspondait à l'intensité des pixels. Chaque flux de pixels a ensuite été transformé en une image bidimensionnelle en utilisant la taille du fichier pour déterminer la largeur et la hauteur de chaque image.
Ces images redimensionnées ont ensuite été introduites dans un réseau neuronal profond (DNN) qui a analysé les représentations 2D des souches de logiciels malveillants et les a classées comme propres ou infectées. Pour servir de base à la recherche, Microsoft a fourni un échantillon de hachages de fichiers exécutables portables (PE) infectés de 2,2 millions.
Les chercheurs de Microsoft et Intel ont utilisé 60% des échantillons de logiciels malveillants connus pour former l'algorithme DNN d'origine, 20% des fichiers ont été utilisés pour valider le DNN et les 20% restants ont été utilisés pour le processus de test réel. Selon l'équipe de recherche, STAMINA a pu atteindre un taux de précision de 99,07% dans l'identification et la classification des échantillons de logiciels malveillants avec un taux de faux positifs de seulement 2,58%. Lorsque vous travaillez avec des fichiers plus petits, STAMINA est précis et rapide, bien que le projet vacille lorsque vous travaillez avec des images plus grandes.
Sur la base du succès du projet à identifier les logiciels malveillants, Microsoft pourrait un jour utiliser STAMINA pour détecter les logiciels malveillants sur les PC Windows ou même dans son logiciel antivirus Window Defender.
Via ZDNet
