Перевод Comss.ru. По материалам MIT Technology Review
Использование методов глубинного обучения в антивирусных продуктах может серьезно уменьшить риск вредоносного заражения.
Многие вредоносные программы умеют успешно уклоняться от антивирусных технологий защиты за счет изменения нескольких строчек кода или внедрения алгоритма мутации при каждом новом заражении.
Искусственные нейронные сети, обученные распознавать вредоносный код за счет сравнения миллионов образцов угроз и безопасных файлов, могут предлагать отличный способ обнаружить подобный злонамеренный код. Такой подход известен как глубинное обучение (или глубокое обучение), включает подготовку сети с помощью многочисленных слоев моделируемых нейронов, используемых большие объемы данных, и данная технология уже проходит тестирование в нескольких компаниях.
Израильский стартап под названием Deep Instinct планирует запустить антивирусную службу, основанную на данной концепции в ближайшие месяцы. Компания смело заявляет, что разрабатываемое программное обеспечение является значительно более эффективным при обнаружении модифицированных версий существующих вредоносных программ, чем современные антивирусы. Данные громкие заявления должны пройти независимую проверку, но некоторые организации уже исследуют использование глубинного обучения для нужд антивирусного ПО, и многие публикации свидетельствуют о том, что данная технология может существенно переломить ситуацию в борьбе с вредоносными программами.
Глубинное обучение включает обучение крупной сети моделируемых нейронов и связей между нейронами (синапсов) для обнаружения абстрактных или сложных моделей при анализе данных образов. При предоставлении достаточно большого количества примеров, подобная сеть может корректно идентифицировать новые образцы, которые могут серьезно отличаться от исходных на базовом уровне. Например, система глубинного обучения может быть обучена распознаванию лица конкретного человека, используя тысячи изображений лица и затем автоматически обнаруживать человека на новых фотографиях, даже на изображениях с плохим освещением или под нестандартным углом.
Эли Давид (Eli David) является со-основателем и техническом директором стартапа Deep Instinct, а также преподавателем машинного обучения в университете имени Бар-Илана в Израиле. Он сообщил, что для обучения нейронной сети компания использует тысячи различных параметров разных файлов. Данный процесс генерации статической нейтронной сети отнимает много времени и потребляет значительное количество вычислительных ресурсов, которые запускаются на кластере графических процессоров. Затем созданная нейронная сеть должна передаваться конечным пользователям. Давид объяснил, что отправленная пользователям сеть не должна обновляться, а значит не требует слишком большого количества компьютерной мощности для работы и обнаружения новых образцов вредоносных программ.
Согласно независимой тестовой лаборатории Virus Bulletin, самые лучшие коммерческие антивирусы могут обнаружить 87 процентов всех новых угроз спустя несколько месяцев после того, как программное обеспечение было обновлено.
Давид рассказал, что в собственных инсайдерских испытаниях, их инновационная служба смогла обнаружить на 20 процентов больше вредоносных образцов, чем современные антивирусные продукты. По сути программное обеспечение сигнализирует о том, что файл имеет признаки, схожие с текущим видом вредоносных программ, что автоматически переводит файл в разряд подозрительных. Традиционные антивирусные механизмы можно обойти, если определенные строки кода, необходимые для обнаружения, были изменены. «Глубинное обучение чрезвычайно устойчиво к искажениям кода. Это одно из основных преимуществ технологии” - поясняет Давид.
Схожая нейронная сеть, предназначенная для обнаружения вредоносных программ, была создана тремя исследователями из Microsoft совместно с Джорджем Далем (George Dahl), который на тот момент был студентом одной из передовых лабораторий глубинного обучения в Университете Торонто, а сейчас является научным сотрудником Google.
Документ, опубликованный исследователями описывает, как они подают функции, включая строки файлов и параметры интерфейса прикладного программирования в несколько специализированных сетей глубинного обучения. После обучения сети с использованием 2,6 миллионов образцов, исследователи описали, что система могла обнаруживать новые образцы вредоносных программ “с передовым уровнем производительности”.
Другой документ, опубликованный в Интернете двумя исследователями компании Invincea описывает усилия по создания еще одной системы глубинного обучения для обнаружения вредоносного ПО. Исследователи заявляют, что их система способна обнаруживать новые вредоносные программы с уровнем надежности в 95 процентов и вероятностью ошибки в 0,01 процентов.
Неудивительно, что глубинное обучение рассматривается в качестве метода улучшения антивирусного ПО. Многие крупные технологические компании и стартапы проводят агрессивные процедуры глубинного обучения. Этот подход уже позволяет улучшать производительность распознавания рукописного текста и голоса, и все чаще применяется для выполнения более сложных задач, как например понимание естественного языка.
Джордж Цыбенко (George Cybenko), профессор Дартмутского колледжа, изучает использование машинного обучения в индустрии компьютерной безопасности и считает, что идея использования нейронных сетей для сканирования на предмет вредоносных программ не нова и насчитывает более десяти лет. Однако по мнению Джорджа, появление рабочих систем глубинного обучения потребует от вендоров антивирусов подробного ознакомления с инновационным подходом.
Цыбенко говорит, что заявленная производительность систем обнаружения вирусов на базе нейронных сетей представляет настоящий “прорыв”, хотя результаты должны быть проверены на основе научных методов. Он также подчеркивает, что разработчики вредоносных программ, как известно, адаптируются под новые условия: “При появлении новых технологий обнаружения, киберпреступники могут провести собственные исследования и придумать новый подход”.
Последние обзоры и тесты
• Лучший антивирус 2024: Тестирование антивирусов для Windows 11 на максимальных настройках защиты
• AV-Test 2024: Лучшие антивирусы для защиты от шифровальщиков и инфостилеров
• AV-Comparatives 2024: Лучшие антивирусы для защиты от целевых атак
• Антивирусы с минимальным влиянием на производительность Windows ПК – AV-Comparatives 2024
• AV-Test 2024: Тестирование 31 антивируса для Windows. Как антивирусы справляются с реальными атаками
• AV-Test 2024: Лучшие антивирусы для Windows 11 и Windows 10