هشدارهای افتایی
شرکت‌های Microsoft و Intel در یک پروژه تحقیقاتی مشترک در حال بررسی رویکردی جدید در شناسایی و طبقه‌بندی بدافزارها هستند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، این پروژه با عنوان STAMINA – بر گرفته از STAtic Malware-as-Image Network Analysis – متکی به تکنیک جدیدی است که در آن نمونه‌های بدافزاری به تصاویر سیاه و سفید تبدیل شده و در ادامه با پویش تصویر، شالوده و الگوهای ساختاری مرتبط با نمونه‌های بدافزاری در آنها شناسایی می‌شود.
به گفته محققان Microsoft و Intel، کل پروسه از چند مرحله ساده تشکیل می‌شود. در اولین قدم، فایل ورودی دریافت و کدهای دودویی آن به رشته‌ای از داده‌های خام پیکسل تبدیل می‌شود.
در ادامه، این رشته پیکسل یک‌بعدی به یک تصویر دوبعدی قابل تحلیل توسط الگوریتم‌های معمول تحلیلگر تصاویر تبدیل می‌شود.
عرض تصویر بسته به اندازه فایل ورودی مطابق با جدول زیر انتخاب می‌شود. ارتفاع آن پویا بوده و از تقسیم رشته خام پیکسل بر عرض انتخاب شده حاصل می‌شود. 

پس از تبدیل رشته خام پیکسل به یک تصویر دوبعدی عادی، محققان در ادامه آن را مجدداً تغییر اندازه داده و تصویری با ابعادی کوچک‌تر ایجاد می‌کنند.
این محققان معتقدند که تغییر اندازه تصویر خام نه تنها تأثیری منفی بر روی نتیجه طبقه‌بندی ندارد بلکه اقدامی ضروری است که در صورت عدم انجام آن، منابع محاسباتی مورد نیاز برای کار با تصاویری شامل میلیاردها پیکسل موجب کندی پردازش می‌شود.
تصاویر حاصل شده، وارد یک سیستم از قبل آموزش دیده Deep Neural Network – به اختصار DNN – می‌شوند که وظیفه آن پویش تصویر (ارائه‌ای دوبعدی از رشته بدافزار) و طبقه‌بندی آن در دسته پاک یا آلوده است.
با تأمین درهم‌ساز 2.2 میلیون فایل اجرایی انتقال‌پذیر (Portable Executable) آلوده توسط Microsoft از آنها به‌عنوان بنیان این بررسی استفاده شده است.
محققان از 60 درصد نمونه بدافزارهای شناخته شده مذکور برای آموزش الگوریتم اصلی DNN، از 20 درصد آنها برای تصدیق DNN و از 20 درصد دیگر در پروسه ارزیابی اصلی استفاده کرده‌اند.
بر اساس بررسی‌ها، دقت STAMINA در تشخیص و دسته‌بندی نمونه‌های بدافزاری 99.07 درصد با نرخ خطای نادرست 2.58 درصد اعلام شده است.
نتایجی که از امیدوارکننده بودن استفاده از یادگیری انتقال عمیق (Deep Transfer Learning) جهت دسته‌بندی بدافزارها حکایت دارد.
این پروژه بخشی از تلاش‌های Microsoft برای بهبود شناسایی بدافزارها با بکارگیری تکنیک‌های یادگیری ماشینی (Machine Learning – به اختصار ML) است.
STAMINA از تکنیکی با عنوان یادگیری عمیق (Deep Learning) بهره می‌گیرد. یادگیری عمیق زیرمجموعه‌ای از یادگیری ماشینی که خود نیز زیرشاخه‌ای از هوش مصنوعی (Artificial Intelligence – به اختصار AI) است بوده و در قالب شبکه‌های هوش کامیپوتری قادر به خودآموزی بر اساس داده‌های ورودی ساختار نیافته یا نامشخص – در  این مورد یک بدافزار دودویی تصادفی – است.
به گفته Microsoft در حالی که STAMINA در کار با فایل‌های کوچک‌تر دقیق و سریع بوده در نمونه‌های بزرگ‌تر به دلیل محدودیت در تبدیل میلیاردها پیکسل به تصاویر JPEG و تغییر اندازه آنها ضعیف عمل کرده است. با این حال، توانایی پروژه در پردازش فایل‌های کوچک‌تر موجب کسب نتایج درخشانی شده است.
Microsoft برای شناسایی تهدیدات نوظهور به‌شدت به یادگیری ماشینی تکیه کرده و این سیستم از ماژول‌های مختلفی که بر روی دستگاه کاربران یا سرورهای این شرکت مورد استفاده قرار می‌گیرند بهره می‌گیرد.
در حال حاضر Microsoft با استفاده از هسته‌های اجرایی (Engine) مبتنی بر یادگیری ماشینی سمت کلاینت، هسته‌های اجرایی مدل یادگیری ماشینی سمت ابر و ماژول‌های یادگیری ماشینی برای شناسایی دنباله‌ای از رفتارها یا محتوای خود فایل استفاده می‌کند.
بر اساس نتایج گزارش شده، انتظار می‌رود STAMINA در ماژول‌های آتی یادگیری ماشینی Microsoft به کار گرفته شود.
Microsoft داده‌های پردازش شده بر روی صدها میلیون دستگاه با ضدویروس Windows Defender را چه از لحاظ تعداد و چه از لحاظ کیفیت از جمله دلایل موفقیت این رویکرد خود در مقایسه با سایرین می‌داند.
جزییات بیشتر در خصوص پروژه STAMINA در لینک‌های زیر قابل دریافت و مطالعه است:
منبع:
(با سپاس از همکاری شرکت مهندسی شبکه گستر در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.