Investigadores del equipo de Inteligencia de Protección contra Amenazas de Microsoft e Intel Labs se han unido para trabajar en un nuevo proyecto de investigación que ha utilizado un nuevo enfoque para detectar y clasificar el malware.
El proyecto, llamado Análisis de red de malware estático como imagen (STAMINA), utilizó una nueva técnica para convertir muestras de malware en imágenes en escala de grises que luego se analizaron para buscar patrones de textura y estructura específicos para muestras de malware conocido.
En la primera parte de su colaboración, los investigadores se basaron en el trabajo previo de Intel sobre el aprendizaje de transferencia profunda para la clasificación estática de malware y utilizaron un conjunto de datos real de Microsoft para comprender mejor el Valor práctico del enfoque para clasificar el malware como una tarea de visión por computadora.
El enfoque de STAMINA argumenta que el malware puede clasificarse a gran escala realizando análisis estáticos en códigos de malware representados en forma de imágenes.
Convertir malware en imágenes
Los investigadores primero prepararon los binarios maliciosos convirtiéndolos en imágenes bidimensionales mediante conversión de píxeles, remodelación y cambio de tamaño. Los binarios se convirtieron en una secuencia de píxeles unidimensional asignando a cada byte un valor entre 0 y 255 que correspondía a la intensidad de los píxeles. Luego, cada flujo de píxeles se transformó en una imagen bidimensional utilizando el tamaño del archivo para determinar el ancho y la altura de cada imagen.
Estas imágenes redimensionadas se introdujeron en una red neuronal profunda preformada (DNN) que analizaba las representaciones en 2D de las cepas de malware y las clasificaba como limpias o infectadas. Para proporcionar la base de la investigación, Microsoft proporcionó una muestra de 2,2 millones de hashes de archivos ejecutables portátiles (PE) infectados.
Los investigadores de Microsoft e Intel utilizaron el 60% de las muestras de malware conocidas para formar el algoritmo DNN original, el 20% de los archivos se usaron para validar el DNN y el 20% restante se utilizó para el proceso de prueba real Según el equipo de investigación, STAMINA pudo lograr una tasa de precisión del 99.07% en la identificación y clasificación de muestras de malware con una tasa de falsos positivos de solo 2.58%. Cuando se trabaja con archivos más pequeños, STAMINA es precisa y rápida, aunque el proyecto parpadea cuando se trabaja con imágenes más grandes.
Basado en el éxito del proyecto para identificar malware, Microsoft algún día puede usar STAMINA para detectar malware en PC con Windows o incluso en su software antivirus Window Defender.
A través de ZDNet