Microsoft et Intel ont travaillé ensemble sur une nouvelle approche de la détection des logiciels malveillants qui implique un apprentissage approfondi et la représentation des logiciels malveillants sous forme d’images.

Appelée STAtic Malware-as-Image Network Analysis (STAMINA), la recherche s’appuie sur les travaux antérieurs d’Intel sur la classification des programmes malveillants statiques grâce à un apprentissage approfondi par transfert et l’applique à un ensemble de données réelles de Microsoft pour déterminer sa valeur pratique.

L’approche est basée sur l’inspection des fichiers binaires malveillants tracés sous forme d’images en niveaux de gris, ce qui a révélé qu’il existe des similitudes textuelles et structurelles entre les fichiers binaires des mêmes familles de logiciels malveillants et des différences entre les différentes familles ou entre les logiciels malveillants et les logiciels bénins.

Dans leur livre blanc sur STAMINA, des chercheurs d’Intel (Li Chen et Ravi Sahita) et de Microsoft (Jugal Parikh et Marc Marino) affirment que l’approche classique de détection des logiciels malveillants qui repose sur la correspondance des signatures devient moins simple en raison de l’augmentation rapide des signatures, tandis que les approches statiques et dynamiques peuvent ne pas être précises ou gagner du temps.

STAMINA, expliquent les chercheurs, comprend quatre étapes: le prétraitement (conversion d’image), l’apprentissage par transfert, l’évaluation et l’interprétation.

Le prétraitement implique la conversion de pixels (un flux de pixels est créé: chaque octet obtient une valeur comprise entre 0 et 255, correspondant directement à l’intensité des pixels), le remodelage (les flux de pixels sont transformés en deux dimensions: la largeur et la hauteur sont déterminées par la taille du fichier après la conversion) et redimensionnement («à 224 ou 299 pour que les modèles d’images formés sur ImageNet puissent être utilisés pour un réglage fin des images»).

Ensuite, l’apprentissage par transfert est utilisé pour former un classificateur de logiciels malveillants pour la classification statique des logiciels malveillants. L’étape est exécutée sur les logiciels malveillants et les images bénignes pendant l’étape de prétraitement, mais les chercheurs notent qu’en pratique, il serait difficile de former un réseau neuronal profond entier à partir de zéro, en raison de la limitation des ensembles de données.

«Ce qui a été fait dans le domaine de la vision par ordinateur …