مايكروسافت و اينتل پروژه مشتركي با هدف شناسايي بهتر بدافزارها اجرا ميكنند
مايكروسافت و اينتل اخيرا در پروژهي تحقيقات امنيتي با يكديگر همكاري كردهاند كه راهكارهاي جديد را براي شناسايي و دستهبندي بدافزارها مورد مطالعه قرار ميدهد. پروژهي مشترك كه بهنام STAMINA، مخفف عبارت STAtic Malware-as-Image Network Analysis است، براساس روش تبديل بدافزار به عكس كار ميكند. دستاورد پروژه، ابزاري خواهد بود كه نمونههاي بدافزار را به تصاوير سياه و سفيد تبديل كرده و سپس آن را با هدف پيدا كردن الگوهاي ساختاري و بافتي مخصوص نمونههاي بدافزار، اسكن ميكند.
پروژه STAMINA چگونه كار ميكند؟
تيم تحقيقاتي متشكل از اينتل و مايكروسافت ميگويد فرايند سادهاي براي تبديل كردن نمونهها به عكس و اسكن كردن آنها دارد. در مرحلهي اول، يك فايل بهصورت ورودي به ابزار ارائه شده و سپس فرم باينري آن به جرياني از دادههاي پيكسلي خام تبديل ميشود. محققان سپس از جريان يكبعدي دادهي پيكسلي استفاده كرده و آن را به عكس دوبعدي تبديل ميكنند تا الگوريتمهاي تحليل تصاوير مرسوم، توانايي تحليل آن را داشته باشند.
عرض تصاويري كه از دادههاي باينري ساخته ميشوند، طبق يك جدول و براساس ابعاد فايل ورودي مشخص ميشود. طول عكس، مقدار ثابتي ندارد و بهصورت پويا و حاصل تقسيم جريان پيكسل خام بر مقدار عرض تصوير، انتخاب ميشود. پس از ساختن يك تصوير دوبعدي با ظاهر عادي از جريان پيكسلها، محققان آن را به ابعاد كوچكتر مقياسدهي كردند.
تيم تحقيقاتي اينتل و مايكروسافت ميگويد كه كاهش ابعاد تصوير خام، تأثير منفي روي نتايج دستهبندي نهايي ندارد. درواقع كاهش ابعاد به اين دليل انجام شد كه سيستمهاي پردازش تصوير، نياز به مطالعه و تحليل ميلياردها پيكسل را نداشته باشند. درنهايت اين تصميم، فشار را روي منابع پردازشي كاهش داده و سرعت كار آنها را افزايش ميدهد.
تصاوير پيش از وارد شدن به سيستم اسكن شبكهي عصبي، كوچك ميشوند
محققان پس از كاهش ابعاد تصوير، آنها را وارد يك شبكهي عصبي عميق يادگيريديده (DNN) ميكنند تا تصاوير را اسكن كند. درواقع، نماي دوبعدي از بدافزار، اسكن شده و سپس در گروههاي بيخطر يا آلوده، دستهبندي ميشود. مايكروسافت ميگويد براي توسعهي پايههاي يادگيريي پروژه، بيش از ۲/۲ ميليون نمونه از هش فايل PE را ارائه كرده است (Prtable Executable). از ميان فايلهاي تأمينشده، ۶۰ درصد براي يادگيري اوليهي شبكهي عصبي، ۲۰ درصد براي تأييد و ارزيابي عملكرد آن و ۲۰ درصد ديگر براي آزمايشهاي نهايي واقعي بهكار گرفته شدند.
گروه تحقيقاتي ادعا ميكند STAMINA در آزمايشهاي انجامشده به دقت ۹۹/۰۷ درصد در شناسايي بدافزارها رسيد و نرخ اعلام آلودگي اشتباه آن نيز ۲/۵۸ درصد بود. گروه دانشمندان مايكروسافت كه به نمايندگي از زيرمجموعهي Microsoft Threat Protection Intelligence Team در تحقيقات حاضر بودند اعتقاد دارند نتايج بهدستآمده، اميدواري را دربارهي اثربخشي استفاده از شبكهي عميق در شناسايي بدافزارهاي افزايش ميدهد.
سرمايهگذاري مايكروسافت در پروژههاي يادگيري ماشين
تحقيقات اخير بخشي از فعاليتهاي مايكروسافت در حوزهي شناسايي بدافزار با روشهاي يادگيري ماشين بود. همانطور كه گفته شد STAMINA از يادگيري عميق براي شناسايي بدافزارهاي بهره ميبرد. يادگيري عميق زيرمجموعهاي پركاربرد از يادگيري ماشين محسوب ميشود كه خود زيرمجموعهي هوش مصنوعي است. شبكههاي كامپيوتري هوشمند كه توانايي يادگيري براساس دادههاي ورودي بدون ساختار و فرمتدهي خاص را دارند، شبكههاي عصبي يادگيري عميق را تشكيل ميدهند. در تحقيق اخير، دادههاي ورودي همان دادههاي باينري تصادفي از بدافزارها هستند.
مايكروسافت ميگويد باوجود دقت بالاي STAMINA در تشخيص بدافزارها در ابعاد كوچك، عملكرد آن در اسكن فايلهاي بزرگ آنچنان موفق نبود. طبق اطلاعاتي كه در يك پست وبلاگي توسط ردمونديها منتشر شد، محدوديت تبديل ميلياردها پيكسل به تصاوير JPG و سپس تغيير ابعاد آنها، منجر به كاهش دقت سيستم در فايلهاي بزرگ ميشود. بههرحال ميتوان از دستاورد اين پروژه براي فايلهاي كوچك بهره برد و روي دقت بالاي آن حساب كرد.
تانماي گاناچاريا، مدير بخش تحقيقات امنيتي Microsoft Threat Protection چندي پيش گفته بود كه شركتش اكنون براي شناسايي تهديدهاي روزافزون امنيت سايبري بيش از هميشه از يادگيري ماشين استفاده ميكند. به گفتهي او، يادگيري ماشين در سيستمهاي امنيتي، ساختاري متفاوت با فناوري مورد استفاده در سيستمهاي مخصوص مشتري يا سرورهاي مايكروسافت دارد. گاناچاريا ميگويد مايكروسافت اكنون از موتورهاي مدل يادگيري ماشين در سمت متخصص، موتورهاي مدل يادگيري ماشين در سمت كلاد و ماژولهاي يادگيري ماشين براي شناسايي توالي رفتارها يا شناسايي محتواي فايل استفاده ميكند.
باتوجه به نتايج بهدست آمده، ميتوان پيشبيني كرد كه STAMINA بهزودي به يكي از ماژولهاي يادگيري ماشين تبديل شود كه در مايكروسافت براي شناسايي بدافزارها متخصصد خواهد داشت. بههرحال ردمونديها اكنون بهخاطر دادههاي عظيمي كه از ويندوز ديفندر دريافت ميكنند، بيش از همهي شركتها توانايي توسعه و افزايش بهرهوري فناوري را دارند. گاناچاريا دربارهي اين برتري ميگويد: «هر شركت يا گروه تحقيقاتي توانايي ساختن مدل را دارد، اما دادههاي برچسبگذاريشده در حجم و كيفيت قابلتوجه، كمك شاياني به يادگيري مدلهاي يادگيري ماشين ميكنند و بهنوعي اثرگذاري آنها را نشان ميدهند. ما در مايكروسافت، مزيت كيفيت و كميت قابلتوجه داده را داريم».
هم انديشي ها