来自微软威胁保护情报小组和英特尔实验室的研究人员已经在一个新的研究项目中合作,该项目利用一种新的方法来检测和分类恶意软件。
该项目名为“静态恶意软件即图像网络分析”(毅力),使用一种新技术将恶意软件样本转换成灰度图像,然后扫描已知恶意软件样本的纹理和结构模式。
在他们合作的第一部分中,研究人员基于英特尔之前关于静态恶意软件分类的深度转移学习的工作,并使用了来自微软的真实数据集,以更好地理解将恶意软件分类作为计算机视觉任务的实际价值。
持久力方法认为,恶意软件可以通过对以图像表示的恶意代码执行静态分析来进行大规模分类。
研究人员首先通过像素转换、重塑和大小调整,将恶意软件二进制文件转换成二维图像。然后,将二进制文件转换为一维像素流,为每个字节分配一个值,该值介于0到255之间,与像素强度相对应。然后,通过使用文件大小确定每个图像的宽度和高度,将每个像素流转换为一个二维图像。
然后,这些重新调整大小的图像被输入一个预先训练好的深度神经网络(DNN),该网络扫描恶意软件菌株的二维表示,并将它们分为干净的和受感染的。为了作为研究的基础,微软提供了一个220万受感染的便携式可执行(PE)文件哈希样本。
微软和英特尔的研究人员使用了60%的已知恶意软件样本来训练原始的DNN算法,20%的文件用来验证DNN,剩下的20%用于实际的测试过程。根据研究团队的研究,在识别和分类恶意软件样本时,毅力能够达到99.07%的准确率,而假阳性率仅为2.58%。当处理较小的文件时,耐力是准确和快速的,尽管项目在处理较大的图像时摇摆不定。
基于该项目在识别恶意软件方面取得的成功,微软有一天可能会用精力在Windows个人电脑甚至防毒软件Windows Defender上识别恶意软件。