Antivirus som härmar hjärnan kan fånga upp mer skadlig programvara

Skadlig programvara kan ofta undvika antivirussäkerhetsprogram om författaren ändrar några rader kod eller designar programmet för att automatiskt mutera före varje ny infektion.





Konstgjorda neurala nätverk, tränade att känna igen egenskaperna hos skadlig kod genom att titta på miljontals exempel på skadlig kod och filer som inte är skadliga, kan kanske erbjuda ett mycket bättre sätt att fånga sådan skadlig kod. Ett tillvägagångssätt som kallas djupinlärning, som innebär att man tränar ett nätverk med många lager av simulerade neuroner med hjälp av enorma mängder data, testas av flera företag.

En israelisk startup ringde Djup instinkt planerar att lansera en säkerhetstjänst baserad på tillvägagångssättet nästa vecka. Företaget hävdar att dess mjukvara är betydligt bättre på att fånga modifierade versioner av befintlig skadlig programvara än nuvarande antivirusprogram. Dessa påståenden har ännu inte verifierats oberoende, men andra undersöker användningen av djupinlärning för antivirusprogram, och deras publicerade resultat tyder på att det kan hjälpa till att vända utvecklingen i kampen mot skadlig programvara.

Deep learning innebär att man tränar ett stort nätverk av simulerade neuroner och synapser för att känna igen abstrakta eller komplexa mönster från exempeldata. När det matas med ett tillräckligt stort antal exempel, kommer ett sådant nätverk korrekt att identifiera nya exempel som verkar annorlunda på en grundläggande nivå. Ett system för djupinlärning kan till exempel tränas i att känna igen en viss persons ansikte med hjälp av tusentals bilder och sedan upptäcka den personen i nya bilder, även sådana som tagits i dålig belysning eller från en udda vinkel.



Eli David, medgrundare och teknisk chef för Deep Instinct och föreläsare i maskininlärning vid Bar-Ilan University i Israel, säger att hans företag tränar sitt nätverk för djupinlärning med hjälp av tusentals olika parametrar för olika filer. Denna tidskrävande och beräkningsintensiva process, som körs på ett kluster av GPU:er, används för att generera ett statiskt neuralt nätverk som sedan distribueras till slutanvändare, säger David. Nätverket som skickas till användare kan inte uppdateras, vilket innebär att det inte kräver lika mycket datorkraft för att köras; men den kan känna igen och flagga ny skadlig programvara.

Enligt Virusbulletin , en oberoende organisation som testar säkerhetsprogramvara, kan det bästa kommersiella antivirusprogrammet fånga upp cirka 87 procent av alla nya hot flera månader efter att programvaran senast uppdaterades.

David säger att i företagets egna tester kunde dess programvara upptäcka 20 procent mer ny skadlig programvara än befintlig antivirusprogramvara. I huvudsak kan den avgöra om en fil är tillräckligt lik en befintlig skadlig programvara för att göra den misstänksam. Befintlig antivirusprogramvara kan luras om den specifika kodsträngen den använder för upptäckt har ändrats. Deep learning är extremt motståndskraftigt mot buller, säger han. Det är tanken här också.



Ett liknande djupinlärningsnätverk för upptäckt av skadlig programvara utvecklades av tre forskare från Microsoft, tillsammans med George Dahl , som vid den tiden var student från ett av världens ledande laboratorier för djupinlärning vid University of Toronto, och nu är forskare på Google.

TILL papper publicerad av forskarna beskriver hur de matade funktioner inklusive filsträngar och applikationsprogrammeringsgränssnittsparametrar till flera skräddarsydda nätverk för djupinlärning. Efter att ha tränat nätverket med hjälp av 2,6 miljoner exempel, skriver forskarna, kunde systemet upptäcka nya instanser av skadlig programvara med toppmodern prestanda.

Annan papper , publicerad på nätet av två forskare vid säkerhetsföretaget Invincea , beskriver ett annat försök att bygga ett djupinlärningssystem för upptäckt av skadlig programvara. Paret säger att deras djupinlärningssystem kunde upptäcka ny skadlig programvara med en tillförlitlighet på 95 procent och en felfrekvens på 0,01 procent.

Det är inte förvånande att djupinlärning övervägs för att förbättra säkerhetsprogramvaran. Många stora teknikföretag och startups driver nu aggressivt djupinlärning. Tillvägagångssättet har redan förbättrat prestandan för programvara för handskriftsigenkänning och röstigenkänning; och det tillämpas alltmer på mycket mer komplexa uppgifter som förståelse av naturligt språk (se Teaching Machines to Understand Us).

George Cybenko , en professor vid Dartmouth College som studerar användningen av maskininlärning i datorsäkerhet, säger att tanken på att använda neurala nätverk för att söka efter skadlig programvara går tillbaka mer än ett decennium. Men han säger att uppkomsten av djupinlärning förmodligen kommer att få företag att titta närmare på metoden.

Cybenko säger att prestandan som hävdas för virusdetektionssystem för djupinlärning skulle vara ett genombrott, även om resultaten måste testas vetenskapligt. Han noterar också att virusskribenter är notoriskt ihållande. Om det blir ett genombrott kommer de att göra lite forskning och utveckling och komma med ett nytt tillvägagångssätt.

Dölj