微軟和英特爾實(shí)驗(yàn)室正在一起研究STAMINA

微軟和英特爾最近合作開展了一個(gè)新的研究項(xiàng)目，該項(xiàng)目探索了一種檢測(cè)和分類惡意軟件的新方法。

稱為STAMINA(STA抽動(dòng)中號(hào) alware-原樣我法師Ñ etwork 甲 nalysis)，該項(xiàng)目依賴于新技術(shù)，其將惡意軟件樣本為灰度圖像，然后掃描質(zhì)地和結(jié)構(gòu)模式特定于惡意軟件樣本圖像。

STAMINA的實(shí)際運(yùn)作方式

英特爾-微軟研究團(tuán)隊(duì)表示，整個(gè)過程遵循幾個(gè)簡(jiǎn)單步驟。第一個(gè)步驟包括獲取輸入文件并將其二進(jìn)制形式轉(zhuǎn)換為原始像素?cái)?shù)據(jù)流。

然后，研究人員拍攝了該一維(1D)像素流并將其轉(zhuǎn)換為2D照片，以便常規(guī)圖像分析算法可以對(duì)其進(jìn)行分析。

使用下表根據(jù)輸入文件的大小選擇圖像的寬度。高度是動(dòng)態(tài)的，是通過將原始像素流除以所選寬度值得到的。

在將原始像素流組合成看起來正常的2D圖像后，研究人員隨后將生成的照片調(diào)整為較小的尺寸。

英特爾和微軟團(tuán)隊(duì)表示，調(diào)整原始圖像的大小不會(huì)“對(duì)分類結(jié)果產(chǎn)生負(fù)面影響”，這是必要的步驟，因此計(jì)算資源將不必處理包含數(shù)十億像素的圖像，這很可能會(huì)減慢處理速度。

然后將駐留的圖像輸入到經(jīng)過預(yù)先訓(xùn)練的深度神經(jīng)網(wǎng)絡(luò)(DNN)中，該網(wǎng)絡(luò)會(huì)掃描圖像(惡意軟件株的2D表示)并將其分類為干凈或已感染。

微軟表示，它提供了220萬個(gè)受感染PE(便攜式可執(zhí)行文件)文件哈希的樣本，作為該研究的基礎(chǔ)。

研究人員使用60%的已知惡意軟件樣本來訓(xùn)練原始DNN算法，使用20%的文件來驗(yàn)證DNN，其余20%用于實(shí)際測(cè)試過程。

研究團(tuán)隊(duì)表示，STAMINA在識(shí)別和分類惡意軟件樣本方面達(dá)到了99.07%的準(zhǔn)確性，誤報(bào)率為2.58%。

兩名代表Microsoft威脅防護(hù)情報(bào)小組參加研究的Microsoft研究人員Jugal Parikh和Marc Marino說：“這些結(jié)果肯定會(huì)鼓勵(lì)將深度轉(zhuǎn)移學(xué)習(xí)用于惡意軟件分類的目的。”