Estudo em deep machine learning feito por pesquisadores da Intel e da Microsoft transforma código de malware em imagens 2D para para aperfeiçoar sua classificação
A Microsoft e a Intel se uniram para desenvolver um novo tipo de detecção de malware. O projeto se chama STAMINA (Static Malware As Image Network Analysis), e é um esforço conjunto das duas empresas para desenvolver um software que ‘fareja’ códigos maliciosos convertendo-os em imagens em escala de cinza que podem ser avaliadas utilizando deep learning.
Os algoritmos do STAMINA convertem os bits do malware em imagens bidimensionais numa escala de cinza, e depois ‘examina’ essas imagens em busca de padrões que podem indicar tipos específicos de código malicioso. Essa etapa é feita com o uso de um software de visão computacional projetado para analisar imagens. Quando a imagem é montada, o STAMINA a redimensiona para uma dimensão menor, para facilitar a visualização. Em um teste usando amostras de malware do mundo real, o sistema alcançou 99,07% de precisão, com uma taxa de falsos positivos de 2,87%.
A redução das imagens, de acordo com os pesquisadores, ajuda a evitar que o software tenha de avaliar bilhões de pixels – o que provavelmente atrasaria o processo – e não prejudica a capacidade de analisar as imagens, identificar e classificar malware.
Veja isso
Serviço gratuito alerta empresas sobre o vazamento de senhas
Ciberataques de estados-nação terão alta, diz especialista
Como os binários de malware são plotados como imagens em escala de cinza, os padrões estruturais e de textura podem ser usados para classificá-los efetivamente como benignos ou maliciosos, assim como agrupar os maliciosos nas respectivas famílias de ameaças, informa a Microsoft em seu blog.
Como o estudo explica, cada byte no código do malware pode ser visualizado na imagem, correspondendo a um pixel de intensidade diferente. A largura e a altura das imagens estão relacionadas ao tamanho do arquivo do malware. Isso permitiu ao programa “ver” as características do malware e treinar para diferenciá-las.
As duas empresas desenvolveram o STAMINA para solucionar as desvantagens da tecnologia de verificação antivírus atuais. As abordagens de detecção também podem envolver a desmontagem de um malware em metadados, para encontrar vestígios de comportamento perigoso.