Microsoft en Intel werken aan nieuwe techniek voor malware-detectie

Microsoft en Intel werken samen aan een nieuw onderzoeksproject: project STAMINA (STAtic Malware-as-Image Network Analysis). Met dit project verkennen ze een nieuwe methode om malware te detecteren en classificeren. 

STAMINA werkt met een techniek die malware omzet in afbeeldingen met grijstinten. Vervolgens kunnen deze afbeeldingen gescand worden voor texturele en structurele patronen die specifiek zijn voor malware.

Het onderzoeksteam verklaart dat STAMINA een nauwkeurigheid van 99,07% heeft om malware samples te identificeren en classificeren. Daarbij wordt 2,58% onterecht als geïnfecteerd bestempeld door het algoritme. “De resultaten moedigen het gebruik van deep transfer learning voor het classificeren van malware zeker aan”, zeggen Jugal Parikh en Marc Marino, de twee onderzoekers die namens Microsoft deelnamen aan het onderzoeksteam. 

Zo werkt STAMINA

Volgens het Intel-Microsoft onderzoeksteam volgt het hele proces een aantal simpele stappen. In de eerste stap neemt de techniek een bestand en zet de binaire vorm om naar een stroom van pixels. Vervolgens nemen de onderzoekers de 1D pixel stroom en zetten deze om in een 2D foto. Door dit te doen kunnen reguliere algoritmes voor het analyseren van afbeeldingen de afbeeldingen onderzoeken. 

Na het vervormen van de ruwe data naar een 2D afbeelding, verkleinen de onderzoekers de afbeelding. Het verkleinen van de afbeeldingen heeft geen negatieve invloed op de resultaten. Deze stap is nodig om te zorgen dat de computers die werken met afbeeldingen bestaande uit miljarden pixels niet worden overbelast.

Nadat de afbeeldingen zijn verkleind, kunnen ze worden ingevoerd in een vooraf getraind deep neural network dat de afbeeldingen scant en classificeert als schoon of geïnfecteerd. Volgens Microsoft werd het algoritme voor deze analyses getraind door een sample van 2,2 miljoen geinfecteerde bestanden in te voeren. 

Uitstekende resultaten voor kleine bestanden

Volgens Microsoft is STAMINA snel en accuraat als het gaat om kleinere bestanden. Met grotere bestanden heeft het algoritme nog wel problemen. “Voor grotere applicaties werkt STAMINA minder effectief vanwege de beperkingen om miljarden pixels om te zetten naar JPEG afbeeldingen en deze vervolgens te verkleinen”, verklaart Microsoft. 

STAMINA mag dan nog niet goed werken voor grote bestanden, maar voor kleine bestanden levert het uitstekende resultaten op. Op basis van deze resultaten kunnen we verwachten dat STAMINA waarschijnlijk binnen korte tijd wordt toegepast binnen Microsoft om malware op te sporen.