ענקיות הטכנולוגיה משתפות פעולה נגד תוכנות מזיקות
This post is also available in: 
English (אנגלית)
צוות ההגנה מפני איומים של מיקרוסופט שילב כוחות עם נציגי מעבדות אינטל כדי ליצור תמונות מתוך דוגמאות של תוכנות מזיקות, שבאמצעותן ניתן לאתר קוד זדוני.
"לנוכח העליה בהיקף הגרסאות של נוזקות, הטכניקות המסורתיות של התאמת חתימה כבר אינן מספיקות. ניסינו ליישם טכניקות של למידה עמוקה כדי למנוע תהליכים הנדסיים בעלויות גבוהות ולהשתמש בטכניקות למידת מכונה כדי ללמוד ולבנות מערכות סיווג שיזהו בצורה אפקטיבית דפוסים בינאריים של נוזקות", כך טוענים חוקרי אינטל.
איך זה נעשה? החוקרים הזינו דוגמאות נוזקה לתוך תוכנית שממירה את הנתונים לתמונות בגווני אפור, בעזרת גישה שנקראת STAMINA – ניתוח רשת סטטי נוזקה כתמונה. לאחר מכן ניתחו את הדוגמאות לאיתור דפוסים מבניים שניתן להיעזר בהם כדי להבחין בין קוד זדוני לקוד תקין, ואז דרגו את החשודים לפי דרגת האיום.
המחקר התבסס על עבודה קיימת של אינטל על הכללה עמוקה (deep transfer learning) לצורך סיווג נוזקה סטטי. ניתוח סטטי מאפשר את איתור הנוזקה בלי צורך ליישם קוד או לנטר התנהגות runtime.
בהסתמך על מערך הנתונים המקיף של מיקרוסופט לגבי קוד נוזקה, שנאסף באמצעות מערכת האבטחה שלה, Defender, החוקרים טוענים שהצליחו להגיע ל"רמה גבוהה של דיוק" באיתור נוזקה ו"שיעור נמוך של טעות". בעזרת הניתוח הסטטי, רוב האיומים אותרו לפני שיצאו לפועל.
המחקר כלל שלושה שלבים: המרת תמונה, הכללת ידע והערכה. בתהליך שכלל המרת פיקסלים ושינוי גודל, הקוד של הנוזקה, שנלקח מ-2.2 מיליון קבצים נגועים, הומר לתמונות דו-מימדיות. לאחר מכן השתמשו בהכללת ידע כדי ליישם ידע שהושג לגבי הנוזקה שאותרה במשימה אחת לגבי קוד בלתי מזוהה שבנוי בצורה דומה. הצעד האחרון היה הערכה.
תוכנית STAMINA הגיעה לרמת דיוק גבוהה מ-99% בזיהוי וקטלוג דוגמאות נוזקה, עם שיעור זיהוי חיובי מוטעה של 2.6%, כך מדווח techxplore.com.
