مايكروسافت و اينتل پروژه مشتركي با هدف شناسايي بهتر بدافزارها اجرا مي‌كنند

مايكروسافت و اينتل اخيرا در پروژه‌ي تحقيقات امنيتي با يكديگر همكاري كرده‌اند كه راهكارهاي جديد را براي شناسايي و دسته‌بندي بدافزارها مورد مطالعه قرار مي‌دهد. پروژه‌ي مشترك كه به‌نام STAMINA،‌ مخفف عبارت STAtic Malware-as-Image Network Analysis است،‌ براساس روش تبديل بدافزار به عكس كار مي‌كند. دستاورد پروژه، ابزاري خواهد بود كه نمونه‌هاي بدافزار را به تصاوير سياه و سفيد تبديل كرده و سپس آن را با هدف پيدا كردن الگوهاي ساختاري و بافتي مخصوص نمونه‌هاي بدافزار، اسكن مي‌كند.

پروژه STAMINA چگونه كار مي‌كند؟

تيم تحقيقاتي متشكل از اينتل و مايكروسافت مي‌‌گويد فرايند ساده‌اي براي تبديل كردن نمونه‌ها به عكس و اسكن كردن آن‌ها دارد. در مرحله‌ي اول، يك فايل به‌صورت ورودي به ابزار ارائه شده و سپس فرم باينري آن به جرياني از داده‌هاي پيكسلي خام تبديل مي‌شود. محققان سپس از جريان يك‌بعدي داده‌ي پيكسلي استفاده كرده و آن را به عكس دوبعدي تبديل مي‌كنند تا الگوريتم‌هاي تحليل تصاوير مرسوم، توانايي تحليل آن را داشته باشند.

عرض تصاويري كه از داده‌هاي باينري ساخته مي‌شوند، طبق يك جدول و براساس ابعاد فايل ورودي مشخص مي‌شود. طول عكس، مقدار ثابتي ندارد و به‌صورت پويا و حاصل تقسيم جريان پيكسل خام بر مقدار عرض تصوير، انتخاب مي‌شود. پس از ساختن يك تصوير دوبعدي با ظاهر عادي از جريان پيكسل‌ها، محققان آن را به ابعاد كوچك‌تر مقياس‌دهي كردند.

تيم تحقيقاتي اينتل و مايكروسافت مي‌گويد كه كاهش ابعاد تصوير خام، تأثير منفي روي نتايج دسته‌بندي نهايي ندارد. درواقع كاهش ابعاد به اين دليل انجام شد كه سيستم‌هاي پردازش تصوير، نياز به مطالعه و تحليل ميلياردها پيكسل را نداشته باشند. درنهايت اين تصميم، فشار را روي منابع پردازشي كاهش داده و سرعت كار آن‌ها را افزايش مي‌دهد.

گروه تحقيقاتي ادعا مي‌كند STAMINA در آزمايش‌هاي انجام‌شده به دقت ۹۹/۰۷ درصد در شناسايي بدافزارها رسيد و نرخ اعلام آلودگي اشتباه آن نيز ۲/۵۸ درصد بود. گروه دانشمندان مايكروسافت كه به نمايندگي از زيرمجموعه‌ي Microsoft Threat Protection Intelligence Team در تحقيقات حاضر بودند اعتقاد دارند نتايج به‌دست‌آمده، اميدواري را درباره‌ي اثربخشي استفاده از شبكه‌ي عميق در شناسايي بدافزارهاي افزايش مي‌دهد.

سرمايه‌گذاري مايكروسافت در پروژه‌هاي يادگيري ماشين

تحقيقات اخير بخشي از فعاليت‌هاي مايكروسافت در حوزه‌ي شناسايي بدافزار با روش‌هاي يادگيري ماشين بود. همان‌طور كه گفته شد STAMINA از يادگيري عميق براي شناسايي بدافزارهاي بهره مي‌برد. يادگيري عميق زيرمجموعه‌اي پركاربرد از يادگيري ماشين محسوب مي‌شود كه خود زيرمجموعه‌ي هوش مصنوعي است. شبكه‌هاي كامپيوتري هوشمند كه توانايي يادگيري براساس داده‌هاي ورودي بدون ساختار و فرمت‌دهي خاص را دارند، شبكه‌هاي عصبي يادگيري عميق را تشكيل مي‌دهند. در تحقيق اخير، داده‌هاي ورودي همان داده‌هاي باينري تصادفي از بدافزارها هستند.

مايكروسافت مي‌گويد باوجود دقت بالاي STAMINA در تشخيص بدافزارها در ابعاد كوچك، عملكرد آن در اسكن فايل‌هاي بزرگ آن‌چنان موفق نبود. طبق اطلاعاتي كه در يك پست وبلاگي توسط ردموندي‌ها منتشر شد، محدوديت تبديل ميلياردها پيكسل به تصاوير JPG و سپس تغيير ابعاد آن‌ها، منجر به كاهش دقت سيستم در فايل‌هاي بزرگ مي‌شود. به‌هرحال مي‌توان از دستاورد اين پروژه براي فايل‌هاي كوچك بهره برد و روي دقت بالاي آن حساب كرد.

باتوجه به نتايج به‌دست آمده، مي‌توان پيش‌بيني كرد كه STAMINA به‌زودي به يكي از ماژول‌هاي يادگيري ماشين تبديل شود كه در مايكروسافت براي شناسايي بدافزارها متخصصد خواهد داشت. به‌هرحال ردموندي‌ها اكنون به‌خاطر داده‌هاي عظيمي كه از ويندوز ديفندر دريافت مي‌كنند، بيش از همه‌ي شركت‌ها توانايي توسعه و افزايش بهره‌وري فناوري را دارند. گاناچاريا درباره‌ي اين برتري مي‌گويد: «هر شركت يا گروه تحقيقاتي توانايي ساختن مدل را دارد، اما داده‌هاي برچسب‌گذاري‌شده در حجم و كيفيت قابل‌توجه، كمك شاياني به يادگيري مدل‌هاي يادگيري ماشين مي‌كنند و به‌نوعي اثرگذاري آن‌ها را نشان مي‌دهند. ما در مايكروسافت، مزيت كيفيت و كميت قابل‌توجه داده را داريم».