Intel und Microsoft entwickeln Deep-Learning-Technik zur Malware-Analyse

Microsoft und Intel haben eine neue Technik für die Analyse von Schadsoftware entwickelt, die auf Deep Learning basiert. Bei der Static Malware-as-Image Network Analysis (Stamina) werden Muster von Malware in Graustufen-Bilder umgewandelt und auf spezifische Textur- und Struktur-Muster untersucht.

In einem ersten Schritt wandelten die Forscher beider Unternehmen die Binärdaten einer Datei in Pixel-Rohdaten um. Aus dem eindimensionalen Pixel-Strom erzeugten sie anschließend ein 2D-Foto, dass sich mit normalen Algorithmen zur Bildanalyse untersuchen lässt. Während die Breite des Bilds von der Größe der Ausgangsdatei abhängig ist, wird die Höhe in Abhängigkeit von der Breite und dem Rohdaten-Strom ermittelt.

Zudem reduzierten die Forscher die Größe des 2D-Bilds vor der eigentlichen Analyse, was das Ergebnis nicht negativ beeinflussen soll. Als Vorteil dieses Schritts nannten sie eine schnellere Verarbeitung der sonst mehrere Milliarden Pixel großen Bilder.

Die eigentliche Analyse übernimmt ein Deep Neural Network (DNN), das die Forscher mit 2,2 Millionen infizierten ausführbaren Dateien trainierten. Es soll nun in der Lage sein, schädliche von sauberen Dateien zu unterscheiden.

Bei ihren Tests identifizierte Stamina Malware-Dateien mit einer Genauigkeit von 99,07 Prozent. Der Anteil der False Positives, also der fälschlich als gefährlich erkannten Dateien, lag bei 2,58 Prozent.

„Die Ergebnisse ermutigen zweifellos dazu, Deep Transfer Learning für die Zwecke der Malware-Klassifizierung zu nutzen“, sagten Jugal Parikh und Marc Marino, die zum Microsoft Threat Protection Intelligence Team gehören.

Stamina ist ein Teil von Microsofts Bemühungen, Machine Learning zur Verbesserung der Malware-Erkennung einzusetzen. Derzeit sei die Technik aber noch auf die Bearbeitung kleiner Dateien beschränkt. „Bei größeren Anwendungen wird Stamina aufgrund der Einschränkungen bei der Konvertierung von Milliarden von Pixeln in JPEG-Bilder und deren anschließender Größenänderung weniger effektiv“, heißt es in einem Blogeintrag von Microsoft.

Anfang des Monats hatte Tanmay Ganacharya, Director of Security Research bei Microsoft, im Gespräch mit ZDNet USA erklärt, das Microsoft bei der Erkennung neuer Bedrohungen immer stärker auf Machine Learning setze. Zudem unterscheide sich dieses Modul von denen, die für Kunden und Microsoft-Servern zum Einsatz kämen. Machine Learning diene der Erkennung von Verhaltensmustern und Dateiinhalten. „Jeder kann ein Modell entwickeln, aber die Daten und ihre Quantität und Qualität helfen wirklich dabei, die Modelle des maschinellen Lernens angemessen zu trainieren, und legen somit fest, wie effektiv sie sein werden.“

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

1 Tag ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

4 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

5 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

5 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

5 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

6 Tagen ago