微软和英特尔最近合作开展了一个新的研究项目,探索了一种新的检测和分类恶意软件的方法。该项目被称为 STAMINA(STAtic Malware-as-Image Network Analysis),该项目依靠一种新技术,将恶意软件样本转换为灰度图像,然后对图像进行扫描,以获取特定于恶意软件样本的纹理和结构模式。
英特尔-微软的研究团队表示,整个过程遵循了几个简单的步骤。首先是取一个输入文件并将其二进制形式转换为原始像素数据流。然后,研究人员把这个一维(1D)像素流转成二维照片,让正常的图像分析算法对其进行分析。根据输入文件的大小选择了图像的宽度,使用下表中的表格。高度是动态的,是将原始像素流除以所选的宽度值后的结果。
英特尔、微软在将原始像素流组装成一张看起来很正常的二维图像后,研究人员随后将生成的照片进行了调整,将其大小调整到一个较小的维度。英特尔和微软团队表示,调整原始图像的大小并没有 “对分类结果产生负面影响”,这是一个必要的步骤,这样计算资源就不用再去处理由数十亿像素组成的图像了,这很可能会减慢处理速度。
然后,这些驻留图像被送入预训练的深度神经网络(DNN),该网络扫描图像,并将其分类为干净或感染。微软表示,它提供了 220 万个受感染的 PE(Portable Executable)文件哈希值样本作为研究的基础。研究人员利用已知恶意软件样本中的 60% 用于训练原始 DNN 算法,20% 的文件用于验证 DNN,另外 20% 用于实际测试过程。研究团队表示,STAMINA 在识别和分类恶意软件样本的准确率达到了 99.07%,假阳性率为 2.58%。