圖片來源: 

英特爾

微軟及英特爾周一發表新的AI應用,標榜能以影像辨識技術找出惡意程式。

這項技術是由英特爾實驗室及微軟威脅防護情報小組共同研發而成,名為惡意軟體圖形靜態網路分析(STAtic Malware-as-Image Network Analysis,STAMINA),它是以英特爾既有以深度遷移學習(deep transfer learning)的靜態惡意程式分類法為基礎,再結合微軟提供的真實惡意程式樣本進行訓練,目的在強化惡意程式的辨識速度。

深度遷移學習源為一種電腦視覺技術,簡單而言,英特爾發展的惡意程式分類法,是將應用程式二進位檔轉換成灰階圖片後,加以掃瞄辨識。和傳統病毒的靜態特徵分析一樣,原理是同一家族惡意程式,在文字及結構上彼此有相似性。不同家族的惡意程式,以及無害及惡意程式之間則異大於同。

STAMINA包含4大流程:預處理(圖形轉換)、遷移學習、評估及詮釋。預處理主要是將二進位檔的1D像素流(pixel stream)轉成2D的相片,根據一定方法,依檔案大小來決定2D像素流相片的寬度及相應高度。接著將不同像素流相片組合成適合AI處理的大小,餵給一個預先預練過的深度神經網路(deep neural network, DNN),由其分類是良性或惡意程式。

研究人員總共對STAMINA系統模型,餵入220萬的惡意程式二進位檔雜湊,及20萬筆良性程式的二進位檔雜湊。測試結果,該系統模型的分類準確度達99.07%,而誤判(false positive)率為2.58%。

研究人員指出,STAMINA和傳統二進位檔特徵或指紋分析相較,不易被程式碼混淆(code obfuscation)手法影響,也比動態分析省時。雖然它仍然有限制,例如用在分析小型檔案比較有效,大型檔案則因無法將數十億像素轉換JPEG檔,而無法發揮效果,此時比較適合meta data的分析法。但研究人員仍認為,STAMINA仍顯示以深度遷移學習為基礎的惡意程式分類的潛力。


Advertisement

更多 iThome相關內容