Microsoft представляет агента ИИ, который обнаруживает вредоносное ПО
Недавно разработанная модель искусственного интеллекта, получившая название «Project Ire», может осуществлять обратное проектирование (обратную разработку) подозрительных программных файлов и использовать декомпиляторы и бинарный анализ для деконструкции кода, чтобы определить, является ли файл вредоносным или нет.
«Это был первый случай в Microsoft, когда с помощью обратного проектирования был вынесен обвинительный приговор — обнаружение было достаточно сильным, чтобы оправдать автоматическую блокировку, — в отношении конкретного образца вредоносного ПО с повышенной постоянной угрозой, который впоследствии был идентифицирован и заблокирован Microsoft Defender», — заявила исследовательская группа разработчиков Ire.
По данным компании, при тестировании на общедоступном наборе данных драйверов Windows «Project Ire» достиг точности 0,98. С точки зрения распознавания и обнаружения образов, это очень хороший показатель. Он означает, что программа может определить вредоносный файл примерно в 98% случаев без ложных срабатываний. Таким образом, программа обнаруживает большинство угроз, хотя некоторые все же может пропустить.
Microsoft заявила, что её платформа Defender, представляющая собой набор инструментов для защиты от киберугроз, ежемесячно сканирует более миллиарда устройств. Это позволяет отслеживать постоянный поток потенциально опасных файлов, которые должны регулярно проверяться экспертами.
«Такая работа — сложная задача», — заявила команда Ire. «Аналитики часто сталкиваются с ошибками и усталостью от оповещений, и нет простого способа сравнить и стандартизировать то, как с течением времени разные люди оценивают и классифицируют угрозы».
Рецензенты-люди обладают преимуществом креативности и адаптивности, которых лишена программная валидация с помощью ИИ. Многие процессы валидации при обнаружении вредоносных программ неопределенны и часто требуют человеческого участия. Это связано с тем, что авторы вредоносных программ используют средства защиты от обратной разработки и другие хитрости, затрудняющие прямое обнаружение. Для решения этих проблем Project Ire использует продвинутые модели рассуждений, устраняя эту защиту с помощью специализированных инструментов, и затем автономно оценивает их результаты, пытаясь итеративно классифицировать поведение программного обеспечения.
«Для каждого проанализированного файла Project Ire генерирует отчет, который включает раздел с доказательствами, сводки всех проверенных функций кода и другие технические детали», — заявила команда.
В реальном сценарии, включающем 4000 трудных для определения безопасности файлов, которые не были классифицированы автоматизированными системами и ожидали экспертной оценки, агент ИИ показал себя немного хуже, чем в контролируемых тестах, но все же продемонстрировал умеренную эффективность. По данным Microsoft, точность составила 0,89, то есть девять из десяти файлов были правильно помечены как вредоносные. Полнота составила 0,26, то есть система обнаружила около четверти всех вредоносных программ, прошедших через её сеть. Также было зафиксировано всего 4% ложных срабатываний, когда программа определила безопасный файл как вредоносный.
«Хотя общая производительность была умеренной, такое сочетание точности и низкого уровня ошибок предполагает реальный потенциал для будущего развертывания», — заявила команда Ire.
Компания Microsoft сообщила, что предварительные испытания Project Ire дали многообещающие результаты, и прототип будет использоваться на платформе Defender для обнаружения угроз и классификации программного обеспечения. Цель будет заключаться в увеличении скорости и точности Ire, чтобы агент мог правильно идентифицировать файлы в источнике, даже при первом обнаружении, как в оперативной памяти, так и в больших масштабах.
