Antivirus dat de hersenen nabootst, kan meer malware vangen

Computermalware kan antivirussoftware vaak omzeilen als de auteur een paar regels code verandert of het programma zo ontwerpt dat het automatisch muteert vóór elke nieuwe infectie.





Kunstmatige neurale netwerken, getraind om de kenmerken van kwaadaardige code te herkennen door te kijken naar miljoenen voorbeelden van malware en niet-malwarebestanden, zouden misschien een veel betere manier kunnen bieden om dergelijke snode code te vangen. Een aanpak die bekend staat als deep learning, waarbij een netwerk wordt getraind met vele lagen gesimuleerde neuronen met behulp van enorme hoeveelheden gegevens, wordt door verschillende bedrijven getest.

Een Israëlische startup genaamd Diep instinct is van plan om volgende week een veiligheidsdienst te lanceren op basis van de aanpak. Het bedrijf beweert dat zijn software aanzienlijk beter is in het opsporen van gewijzigde versies van bestaande malware dan de huidige antivirussoftware. Die beweringen moeten nog onafhankelijk worden geverifieerd, maar anderen onderzoeken het gebruik van deep learning voor antivirussoftware, en hun gepubliceerde resultaten suggereren dat het het tij kan helpen keren in de strijd tegen malware-infecties.

Deep learning omvat het trainen van een groot netwerk van gesimuleerde neuronen en synapsen om abstracte of complexe patronen uit voorbeeldgegevens te herkennen. Bij een voldoende groot aantal voorbeelden zal zo'n netwerk correct nieuwe voorbeelden identificeren die op basisniveau anders lijken. Een deep learning-systeem kan bijvoorbeeld worden getraind om het gezicht van een bepaalde persoon te herkennen aan de hand van duizenden afbeeldingen, en die persoon vervolgens op nieuwe foto's te herkennen, zelfs foto's die bij weinig licht of vanuit een vreemde hoek zijn genomen.



Eli David, medeoprichter en chief technology officer van Deep Instinct en docent machine learning aan de Bar-Ilan University in Israël, zegt dat zijn bedrijf zijn deep learning-netwerk traint met duizenden verschillende parameters van verschillende bestanden. Dit tijdrovende en rekenintensieve proces, dat draait op een cluster van GPU's, wordt gebruikt om een ​​statisch neuraal netwerk te genereren dat vervolgens wordt gedistribueerd naar eindgebruikers, zegt David. Het netwerk dat naar gebruikers wordt gestuurd, kan niet worden bijgewerkt, wat betekent dat er niet zoveel computerkracht voor nodig is; maar het kan nieuwe malware herkennen en markeren.

Volgens de Virusbulletin , een onafhankelijke organisatie die beveiligingssoftware test, kan de beste commerciële antivirus ongeveer 87 procent van alle nieuwe bedreigingen opvangen enkele maanden nadat de software voor het laatst is bijgewerkt.

David zegt dat de software in de eigen tests van het bedrijf 20 procent meer nieuwe malware kon detecteren dan bestaande antivirussoftware. In wezen kan het zien of een bestand voldoende lijkt op een bestaand stukje malware om het verdacht te maken. Bestaande antivirussoftware kan voor de gek worden gehouden als de specifieke codereeks die wordt gebruikt voor detectie is gewijzigd. Deep learning is extreem goed bestand tegen lawaai, zegt hij. Dat is hier ook het idee.



Een vergelijkbaar deep learning-netwerk voor malwaredetectie is ontwikkeld door drie onderzoekers van Microsoft, samen met: George Dahl , die destijds een student was van een van 's werelds toonaangevende deep learning-labs aan de Universiteit van Toronto, en nu een onderzoekswetenschapper is bij Google.

NAAR papier gepubliceerd door de onderzoekers beschrijft hoe ze functies, waaronder bestandsstrings en interfaceparameters voor applicatieprogrammering, hebben ingevoerd in verschillende aangepaste deep learning-netwerken. Na training van het netwerk met behulp van 2,6 miljoen voorbeelden, schrijven de onderzoekers, was het systeem in staat om nieuwe gevallen van malware te detecteren met state-of-the-art prestaties.

Een ander papier , online gepubliceerd door twee onderzoekers van het beveiligingsbedrijf Invincea , beschrijft een andere poging om een ​​diepgaand leersysteem voor malwaredetectie te bouwen. Het paar zegt dat hun deep learning-systeem nieuwe malware kon detecteren met een betrouwbaarheid van 95 procent en een foutenpercentage van 0,01 procent.

Het is niet verwonderlijk dat deep learning wordt overwogen voor het verbeteren van beveiligingssoftware. Veel grote technologiebedrijven en startups streven nu agressief naar deep learning. De aanpak heeft de prestaties van handschriftherkenning en spraakherkenningssoftware al verbeterd; en het wordt steeds vaker toegepast op veel complexere taken zoals het begrijpen van natuurlijke taal (zie Machines aanleren om ons te begrijpen).

George Cybenko , een professor aan het Dartmouth College die het gebruik van machine learning in computerbeveiliging bestudeert, zegt dat het idee om neurale netwerken te gebruiken om op malware te scannen al meer dan tien jaar oud is. Maar hij zegt dat de opkomst van deep learning bedrijven er waarschijnlijk toe zal aanzetten om de aanpak nader te bekijken.

Cybenko zegt dat de prestaties die worden geclaimd voor deep learning-virusdetectiesystemen een doorbraak zouden zijn, hoewel de resultaten wetenschappelijk moeten worden getest. Hij merkt ook op dat virusschrijvers notoir hardnekkig zijn. Als er een doorbraak is, gaan ze wat R&D doen en een nieuwe aanpak bedenken.

zich verstoppen