Microsoft e Intel estão a transformar malware em imagens

Investigadores da Equipa de Inteligência de Protecção contra Ameaças da Microsoft e da Intel Labs juntaram-se para trabalhar num novo projeto de investigação que utilizou uma nova abordagem para detectar e classificar malware.

O projeto, denominado STAMINA (STAtic Malware-as-Image Network Analysis), utilizou uma nova técnica para converter amostras de malware em imagens em escala de cinza que foram depois digitalizadas em busca de padrões textuais e estruturais específicos para amostras de malware conhecidas.

Durante a primeira parte da sua colaboração, os investigadores basearam-se no trabalho anterior da Intel sobre aprendizagem de transferência profunda para classificação estática de malware e utilizaram um conjunto de dados do mundo real da Microsoft para compreender melhor o valor prático de abordar a classificação de malware como uma tarefa de visão computacional.

A abordagem STAMINA faz o argumento de que o malware pode ser classificado em escala através da realização de análises estáticas em códigos malware representados como imagens.

Transformar malware em imagens

Os investigadores começaram por preparar os binários de malware, convertendo-os em imagens bidimensionais através da conversão, remodelação e redimensionamento de pixels. Os binários foram então convertidos num fluxo de pixels unidimensional atribuindo a cada byte um valor entre 0 e 255 que correspondia à intensidade do píxel. Cada fluxo de pixel foi então transformado numa imagem bidimensional utilizando o tamanho do ficheiro para determinar a largura e a altura de cada imagem.

Estas imagens redimensionadas foram então introduzidas numa rede neural profunda pré-treinada (DNN) que digitalizou as representações 2D das estirpes de malware e as classificou como limpas ou infectadas. Para servir de base à pesquisa, a Microsoft forneceu uma amostra de 2,2m de hashes de arquivo Portable Executable (PE) infectados.

Os investigadores da Microsoft e da Intel utilizaram 60% das amostras de malware conhecidas para treinar o algoritmo DNN original, 20% dos ficheiros foram utilizados para validar o DNN e os restantes 20% foram utilizados para o processo de teste real. Segundo a equipa de investigação, o STAMINA conseguiu alcançar uma taxa de precisão de 99,07 por cento na identificação e classificação das amostras de malware com uma taxa de falsos positivos de apenas 2,58 por cento. Ao trabalhar com arquivos menores, o STAMINA foi preciso e rápido, embora o projeto tenha vacilado ao trabalhar com imagens maiores.

Com base no sucesso do projeto na identificação de malware, a Microsoft poderia um dia acabar por utilizar o STAMINA para detectar malware em PCs Windows ou mesmo no seu software antivírus Window Defender.

Via: TechRadar

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *