I ricercatori del team Threat Protection Intelligence di Microsoft e Intel Labs hanno collaborato per lavorare a un nuovo progetto di ricerca che ha utilizzato un nuovo approccio per rilevare e classificare il malware. Il progetto, chiamato Static Malware Network Analysis as Image (STAMINA), ha utilizzato una nuova tecnica per convertire i campioni di malware in immagini in scala di grigi che sono state poi analizzate per cercare modelli di texture e struttura specifici per campioni di malware noti. Nella prima parte della loro collaborazione, i ricercatori si sono basati sul precedente lavoro di Intel sul deep transfer learning per la classificazione del malware statico e hanno utilizzato un vero e proprio set di dati di Microsoft per comprendere meglio il valore pratico dell'approccio per classificare il malware. . L'approccio STAMINA sostiene che il malware può essere classificato su larga scala eseguendo un'analisi statica sul codice del malware rappresentato sotto forma di immagini.
Converti malware in immagini
I ricercatori hanno prima preparato i file binari dannosi convertendoli in immagini bidimensionali utilizzando la conversione dei pixel, il rimodellamento e il ridimensionamento. I binari sono stati convertiti in una sequenza unidimensionale di pixel assegnando a ciascun byte un valore compreso tra 0 e 255 che corrispondeva all'intensità dei pixel. Ogni flusso di pixel è stato quindi trasformato in un'immagine bidimensionale utilizzando la dimensione del file per determinare la larghezza e l'altezza di ciascuna immagine. Queste immagini ridimensionate sono state inserite in una rete neurale profonda (DNN) preformata che ha analizzato le rappresentazioni 2D dei ceppi di malware e le ha classificate come pulite o infette. Per fornire la base per l'indagine, Microsoft ha fornito un campione di 2,2 milioni di hash di file PE (Portable Executable) infetti. I ricercatori Microsoft e Intel hanno utilizzato il 60% dei campioni di malware noti per formare l'algoritmo DNN originale, il 20% dei file è stato utilizzato per convalidare il DNN e il restante 20% è stato utilizzato per il processo di test vero e proprio. team, STAMINA è riuscita a raggiungere un tasso di accuratezza del 99.07% nell'identificazione e nella classificazione dei campioni di malware con un tasso di falsi positivi di solo il 2.58%. Quando si lavora con file più piccoli, STAMINA è preciso e veloce, anche se il progetto sfarfalla quando si lavora con immagini più grandi. Sulla base del successo del progetto per identificare il malware, un giorno Microsoft potrebbe utilizzare STAMINA per rilevare malware su PC Windows o persino il suo software antivirus Window Defender. tramite ZDNet