微软和英特尔实验室正在一起研究STAMINA
微软和英特尔最近合作开展了一个新的研究项目,该项目探索了一种检测和分类恶意软件的新方法。
称为STAMINA(STA抽动中号 alware-原样我法师Ñ etwork 甲 nalysis),该项目依赖于新技术,其将恶意软件样本为灰度图像,然后扫描质地和结构模式特定于恶意软件样本图像。
STAMINA的实际运作方式
英特尔-微软研究团队表示,整个过程遵循几个简单步骤。第一个步骤包括获取输入文件并将其二进制形式转换为原始像素数据流。
然后,研究人员拍摄了该一维(1D)像素流并将其转换为2D照片,以便常规图像分析算法可以对其进行分析。
使用下表根据输入文件的大小选择图像的宽度。高度是动态的,是通过将原始像素流除以所选宽度值得到的。
在将原始像素流组合成看起来正常的2D图像后,研究人员随后将生成的照片调整为较小的尺寸。
英特尔和微软团队表示,调整原始图像的大小不会“对分类结果产生负面影响”,这是必要的步骤,因此计算资源将不必处理包含数十亿像素的图像,这很可能会减慢处理速度。
然后将驻留的图像输入到经过预先训练的深度神经网络(DNN)中,该网络会扫描图像(恶意软件株的2D表示)并将其分类为干净或已感染。
微软表示,它提供了220万个受感染PE(便携式可执行文件)文件哈希的样本,作为该研究的基础。
研究人员使用60%的已知恶意软件样本来训练原始DNN算法,使用20%的文件来验证DNN,其余20%用于实际测试过程。
研究团队表示,STAMINA在识别和分类恶意软件样本方面达到了99.07%的准确性,误报率为2.58%。
两名代表Microsoft威胁防护情报小组参加研究的Microsoft研究人员Jugal Parikh和Marc Marino说:“这些结果肯定会鼓励将深度转移学习用于恶意软件分类的目的。”