速報,微軟英特爾聯手給惡意軟體拍“X光”?

零日情報局發表於2020-05-12

大家好,我是 零日情報局

本文首發於公眾號 零日情報局,微信ID:lingriqingbaoju


最近,微軟和英特爾合作開展了一個新的安全研究專案——STAMINA(STAtic Malware-as-Image Network Analysis),將未知軟體轉化為影像,通過影像掃描法進行檢測分析。簡單點說,就是給疑似惡意軟體拍“X光”,然後專家們可以根據這張“X光片”判斷是不是真的惡意軟體,以及是哪種惡意軟體。

至於怎麼給惡意軟體拍X光?我們簡單粗暴地描述下整個過程:


速報,微軟英特爾聯手給惡意軟體拍“X光”?

(STAMINA技術將惡意軟體轉換影像分析流程)


首先,將未知軟體轉換為簡單的01010畫素流;


接著,按照軟體的原始資料流,轉換成一張圖片,圖片尺寸隨檔案大小而變化;

然後,有了圖片版的軟體,就可以把他們丟進神經網路(DNN)進行“X光”掃描;

再然後,經過全方位透徹的掃描,影像版軟體就被神經網路(DNN)劃分為乾淨和已感染兩大類; 

最後,分類完畢之後,就是生成該軟體的“X光”分析以及專家後期的人工分析。到這一步就可以確定,可疑軟體是不是真惡意軟體,以及是什麼種類的惡意軟體,並提供包括準確性、誤報率、召回率、F1分數和接收器工作曲線的詳細分析。


明白了微軟英特爾給可疑惡意軟體拍X光的全流程,再說說STAMINA技術把可疑軟體從.exe變.jpg中,一個值得注意的隱藏亮點。


那就是這種技術處理可疑軟體時,不需要全尺寸、逐畫素的重建,這對處理大型可疑惡意軟體是個好訊息,當然現階段技術還沒有完全成熟到這種程度。不過,從目前超過99.07%的分類準確率,以及低於2.6%的誤報率來看,STAMINA堪稱全能惡意軟體“X光掃描機”。


速報,微軟英特爾聯手給惡意軟體拍“X光”?

(可疑惡意軟體重建圖片尺寸調整方法)


看到這裡,那些充滿憂患意識的技術從業者,可能已經開始思考STAMINA會不會取代人的長遠問題。


但零日想告訴你,不能。


至於為什麼?首先,不可否認STAMINA的出現,改變了以往冗雜且繁瑣的可疑惡意軟體檢測流程,但目前尚在初期階段,且就算未來成熟,也只是提高人員工作效率罷了。


其次,STAMINA的高準確率,是建立在220萬個受感染的PE(Portable Executable)檔案雜湊樣本,說白了準確源自大資料。


速報,微軟英特爾聯手給惡意軟體拍“X光”?

(PE檔案示例)


智慧不等於智慧。說得再通俗一點說,STAMINA能拍可疑惡意軟體的“X光”,掃描出全部的資料,甚至確定有沒有感染,但最終如何應對,還得靠專業的技術從業者。


話說回來,惡意軟體檢測等技術分析始終都是個抽象的工作。STAMINA把可疑軟體變成圖片再分析的方式,卻把抽象概念變可視的影像內容,是十分具有借鑑意義的。至於這種全新的技術,能不能適應行業,適合未來發展,零日先不表態,實踐會檢驗一切。


你看不看好,我們留言區見。


參考資料:

[1] Intel& Microsoft《STAMINA: Scalable Deep Learning Approach for Malware Classification》


速報,微軟英特爾聯手給惡意軟體拍“X光”?



相關文章