微软和英特尔设计了一种新的恶意软件检测方法,称为 STAMINA,该方法涉及深度学习和将恶意软件表示为图像。
静态恶意软件图像网络分析 (STAMINA) 是微软和英特尔提出的一种新型恶意软件检测方法。该研究基于英特尔研究人员之前通过深度迁移学习进行静态恶意软件分类的研究,其成果随后应用于微软提供的真实数据集,以评估其效率。
“我们研究了将深度迁移学习从计算机视觉应用到静态恶意软件分类的实际好处。回想一下,在迁移学习方案中,我们借用了自然图像或物体中的知识,并将其应用于静态恶意软件检测的目标域。深度神经网络的训练时间加快了,同时仍然保持了较高的分类性能。” STAMINA的研究作者写道。“在本文中,英特尔实验室和微软威胁情报团队在真实用户数据集上证明了这种方法的有效性,并表明从计算机视觉迁移学习进行恶意软件分类可以实现非常理想的分类性能。对于这次合作,我们将这种方法称为静态恶意软件图像网络分析 (STAMINA)”
STAMINA 方法由四个步骤组成:预处理(图像转换)、迁移学习、评估和解释。
该方法依赖于一种将恶意软件样本转换为灰度图像的新技术,然后检测过程基于对与恶意软件样本相关的纹理和结构模式的图像扫描。
“该方法的动机是对绘制为灰度图像的应用程序二进制文件进行目视检查:同一系列的恶意软件之间存在纹理和结构相似性,而恶意软件和良性软件之间以及不同恶意软件系列之间存在差异。”报告继续说道。
专家指出,传统的基于签名的恶意软件检测方法存在局限性,由于恶意代码的演变,静态和动态方法可能不准确或不省时。
研究人员解释说,STAMINA 由四个步骤组成:预处理(图像转换)、迁移学习、评估和解释。
预处理包括创建一个像素流,为每个字节分配一个介于 0 到 255 之间的与像素强度相对应的值,将像素流重塑为二维,并调整大小(“调整为 224 或 299,以便在 ImageNet 上训练的图像模型可用于对图像进行微调”)。
然后,该方法利用迁移学习来训练恶意软件分类器,以便对恶意软件样本进行静态分类。在预处理步骤中,系统针对恶意软件和良性图像进行训练。
“在计算机视觉领域,我们已经做到了,对于特定任务,使用在大量图像上预先训练的模型,并针对目标任务进行迁移学习。主要的迁移学习方案包括用作特征提取器和微调网络。”研究人员指出。
为了评估 STAMINA 方法,专家考虑了准确度、假阳性率、精确度、召回率、F1 分数和受试者工作曲线下面积 (ROC)。
研究人员使用了由 220 万个恶意软件二进制哈希值以及 10 列数据信息组成的 Microsoft 数据集。
“特别是,根据恶意软件分析从业人员的反馈,我们还通过 ROC 报告了 0.1%-10% 的误报率。”论文继续说道。
“他们按照 60:20:20 的比例划分训练集、验证集和测试集,并根据首次发现的良性和恶意性进行划分。”
测试结果证实,STAMINA 可以达到 99.07% 的准确率,假阳性率为 2.58%(准确率为 99.09%,召回率为 99.66%)。准确率为 99.09%,召回率为 99.66%。F1 得分为 0.9937。
专家强调,这种方法对于小型应用程序很有效,而对于大型软件则效果较差,因为将“数十亿像素转换成 JPEG 图像”并调整其大小非常困难。
“对于未来的工作,我们希望评估使用二进制中间表示和使用深度学习方法从二进制中提取的信息的混合模型——这些数据集预计会更大,但可能会提供更高的准确性。”研究人员总结道。“我们还将继续探索深度学习模型的平台加速优化,以便我们能够以对最终用户的功率和性能影响最小的方式部署此类检测技术。”
扫一扫
472
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
