大家好,我是
零日情報局
。
本文首發於公眾號
零日情報局
,微信ID:
lingriqingbaoju
。
最近,微軟和英特爾合作開展了一個新的安全研究專案——STAMINA(STAtic Malware-as-Image Network Analysis),將未知軟體轉化為影象,透過影象掃描法進行檢測分析。簡單點說,就是給疑似惡意軟體拍“X光”,然後專家們可以根據這張“X光片”判斷是不是真的惡意軟體,以及是哪種惡意軟體。
至於怎麼給惡意軟體拍X光?我們簡單粗暴地描述下整個過程:
(STAMINA技術將惡意軟體轉換影象分析流程)
首先,將未知軟體轉換為簡單的01010畫素流;
接著,按照軟體的原始資料流,轉換成一張圖片,圖片尺寸隨檔案大小而變化;
然後,有了圖片版的軟體,就可以把他們丟進神經網路(DNN)進行“X光”掃描;
再然後,經過全方位透徹的掃描,影象版軟體就被神經網路(DNN)劃分為乾淨和已感染兩大類;
最後,分類完畢之後,就是生成該軟體的“X光”分析以及專家後期的人工分析。到這一步就可以確定,可疑軟體是不是真惡意軟體,以及是什麼種類的惡意軟體,並提供包括準確性、誤報率、召回率、F1分數和接收器工作曲線的詳細分析。
明白了微軟英特爾給可疑惡意軟體拍X光的全流程,再說說STAMINA技術把可疑軟體從。exe變。jpg中,一個值得注意的隱藏亮點。
那就是這種技術處理可疑軟體時,不需要全尺寸、逐畫素的重建,這對處理大型可疑惡意軟體是個好訊息,當然現階段技術還沒有完全成熟到這種程度。不過,從目前超過99。07%的分類準確率,以及低於2。6%的誤報率來看,STAMINA堪稱全能惡意軟體“X光掃描機”。
(可疑惡意軟體重建圖片尺寸調整方法)
看到這裡,那些充滿憂患意識的技術從業者,可能已經開始思考STAMINA會不會取代人的長遠問題。
但零日想告訴你,不能。
至於為什麼?首先,不可否認STAMINA的出現,改變了以往冗雜且繁瑣的可疑惡意軟體檢測流程,但目前尚在初期階段,且就算未來成熟,也只是提高人員工作效率罷了。
其次,STAMINA的高準確率,是建立在220萬個受感染的PE(Portable Executable)檔案雜湊樣本,說白了準確源自大資料。
(PE檔案示例)
智慧不等於智慧。說得再通俗一點說,STAMINA能拍可疑惡意軟體的“X光”,掃描出全部的資料,甚至確定有沒有感染,但最終如何應對,還得靠專業的技術從業者。
話說回來,惡意軟體檢測等技術分析始終都是個抽象的工作。STAMINA把可疑軟體變成圖片再分析的方式,卻把抽象概念變可視的影象內容,是十分具有借鑑意義的。至於這種全新的技術,能不能適應行業,適合未來發展,零日先不表態,實踐會檢驗一切。
你看不看好,我們留言區見。
參考資料:
[1] Intel& Microsoft《STAMINA: Scalable Deep Learning Approach for Malware Classification》
