速報，微軟英特爾聯手給惡意軟體拍“X光”？

大家好，我是 零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju。

最近，微軟和英特爾合作開展了一個新的安全研究專案——STAMINA（STAtic Malware-as-Image Network Analysis），將未知軟體轉化為影像，透過影像掃描法進行檢測分析。簡單點說，就是給疑似惡意軟體拍“X光”，然後專家們可以根據這張“X光片”判斷是不是真的惡意軟體，以及是哪種惡意軟體。

至於怎麼給惡意軟體拍X光？我們簡單粗暴地描述下整個過程：

（STAMINA技術將惡意軟體轉換影像分析流程）

首先，將未知軟體轉換為簡單的01010畫素流；

接著，按照軟體的原始資料流，轉換成一張圖片，圖片尺寸隨檔案大小而變化；

然後，有了圖片版的軟體，就可以把他們丟進神經網路(DNN)進行“X光”掃描；

再然後，經過全方位透徹的掃描，影像版軟體就被神經網路(DNN)劃分為乾淨和已感染兩大類； 

最後，分類完畢之後，就是生成該軟體的“X光”分析以及專家後期的人工分析。到這一步就可以確定，可疑軟體是不是真惡意軟體，以及是什麼種類的惡意軟體，並提供包括準確性、誤報率、召回率、F1分數和接收器工作曲線的詳細分析。

明白了微軟英特爾給可疑惡意軟體拍X光的全流程，再說說STAMINA技術把可疑軟體從.exe變.jpg中，一個值得注意的隱藏亮點。

那就是這種技術處理可疑軟體時，不需要全尺寸、逐畫素的重建，這對處理大型可疑惡意軟體是個好訊息，當然現階段技術還沒有完全成熟到這種程度。不過，從目前超過99.07%的分類準確率，以及低於2.6%的誤報率來看，STAMINA堪稱全能惡意軟體“X光掃描機”。

看到這裡，那些充滿憂患意識的技術從業者，可能已經開始思考STAMINA會不會取代人的長遠問題。

但零日想告訴你，不能。

至於為什麼？首先，不可否認STAMINA的出現，改變了以往冗雜且繁瑣的可疑惡意軟體檢測流程，但目前尚在初期階段，且就算未來成熟，也只是提高人員工作效率罷了。

其次，STAMINA的高準確率，是建立在220萬個受感染的PE（Portable Executable）檔案雜湊樣本，說白了準確源自大資料。

智慧不等於智慧。說得再通俗一點說，STAMINA能拍可疑惡意軟體的“X光”，掃描出全部的資料，甚至確定有沒有感染，但最終如何應對，還得靠專業的技術從業者。

話說回來，惡意軟體檢測等技術分析始終都是個抽象的工作。STAMINA把可疑軟體變成圖片再分析的方式，卻把抽象概念變可視的影像內容，是十分具有借鑑意義的。至於這種全新的技術，能不能適應行業，適合未來發展，零日先不表態，實踐會檢驗一切。

你看不看好，我們留言區見。

參考資料：

[1] Intel& Microsoft《STAMINA: Scalable Deep Learning Approach for Malware Classification》