Дата публикации: 22.05.2024
Приграничное обнаружение
вредоносных программ,
идущих «в обход» средств защиты.
Блок-схема предлагаемого метода. Пунктирная область показывает один уровень предлагаемой сети, который повторяется N раз. На рисунке применена предварительная норма. В случае пост нормы нормализация применяется после слоя GLU перед пропуском соединения. Источник.
Обнаружение вредоносных программ ‒ интересная и ценная область информационных технологий, оказывающая значительное влияние не только на саму сферу ИТ, но и на реальный мир. Последние несколько десятилетий практики кибератак ознаменовались ростом профессионализма злоумышленников во всё более изощрённых решениях по реализации такого ПО и методов его внедрения в целевые системы. Конечно, кроме злонамеренного нарушения работы компьютеров или несанкционированного доступа к конфиденциальным данным, за это время совершено немало безобидных (на первый взгляд) «проб пера» юных вундеркиндов от программирования, пленников тщеславных амбиций. Однако с годами их доля в сфере забот отделов информационной безопасности становится всё меньше. Дело не только и даже не столько в падении их количества, сколько в повышающейся доле криминальных хакерских сообществ, а также в растущей организованности этих структур. Цифровые преступления стали бизнесом со своими «акулами», легендами и целями.
И всё бы ничего ‒ преступность была всегда и избавиться нам от неё, увы, вряд ли когда-то удастся, ‒ но мы вошли в эру так называемого искусственного интеллекта. Нужно помнить: помимо того, что эта технология обременена множеством уникальных не только технологических, но и этических проблем, она также наделена множеством не менее уникальных технологических и этических возможностей. Вследствие этого простейшая подмена данных в работе модели машинного обучения может быть чревата катастрофическими последствиями.
Таким образом разработкам надёжных и быстрых методов обнаружения вредоносных программ в системе и умению определить их «семейство» отводится отдельное внимание во всех антивирусных и прочих средствах защиты. Чем быстрее удастся нейтрализовать кибератаку, какой бы она ни была, тем менее значительным окажется ущерб.
Исследователи из Университета Мэриленда и Booz Allen Hamilton предлагают для этого воспользоваться не обычным поиском соответствий с библиотекой (базой данных) средств защиты, а, условно говоря, «взглядом издалека» ‒ пролонгированной диагностикой системы с целью выявления аномалий её работы и действий установленного ПО для выявления едва заметных признаков взлома. Команда под руководством Мохаммада Махмудул Алама и Эдварда Раффа представила свою вычислительную модель, разработанную для решения задач «долгосрочного» обнаружения вредоносных программ, что достигается посредством анализа удлинённых данных о выполняемых операциях. Она включает выявление и анализ сложных процессов, скрытых от традиционных мер безопасности и предназначенных для их обхода.
В рамках своего исследования учёные сперва проанализировали успехи предыдущих методов поиска программ-диверсантов в условиях долгосрочной перспективы. Изучение результатов, достигнутых с помощью существующих средств и эталонных подходов, в целом оправдало создание более действенных инструментов: оказалось, что сегодняшняя практика не особенно хороша для выявления скрытого постороннего присутствия. Это и стало главным стимулом к разработке альтернативного рецепта обнаружения неприятностей.
Образно говоря, работу имеющихся средств защиты можно сравнить с микроскопом: статичные, ещё не открытые и не запущенные файлы или программы тщательно просеиваются через фильтры антивирусного ПО, выявляющего знакомые паттерны вредоносных кодов. Новая же парадигма больше походит на взгляд издали: он охватывает большее пространство (в данном случае ‒ информационное) во всём его динамическом непостоянстве, имеющем, тем не менее, свои закономерности. Так, например, глядя на улицу большого города с крыши высотки, мы легко заметим выбивающиеся из её размеренной жизни случаи: где-то пробка, где-то нарушение скоростного режима и прочее. Обычные средства безопасности тоже обратят внимание на эти явные аномалии, но они не заметят злоумышленника в группе туристов, который вроде бы фотографирует достопримечательности, но больше заинтересован инкассаторской машиной и зданием банка на противоположном краю улицы. Чтобы его выявить, нужно длительное наблюдение.
Новая модель команды, представленная в препринте на arXiv, использует возможности алгоритмов машинного обучения определённого класса: это голографические глобальные свёрточные сети (HGConv). Они особенно хорошо подходят для сбора данных о долгосрочных зависимостях и общем контексте каждого конкретного события, отчего и позволяют получить более глубокое представление о взаимосвязях между различными элементами данных.
«Мы представляем HGConv, которые используют свойства голографических сокращённых представлений (HRR) для кодирования и декодирования объектов из элементов последовательности, ‒ пишут авторы в статье. ‒ В отличие от других глобальных свёрточных методов, наш метод не требует каких-либо сложных вычислений ядра или продуманного дизайна ядра. Ядра HGConv определяются как простые параметры, полученные путём обратного распространения».
Пока что исследователи проверили свою парадигму продолжительного обнаружения вредоносного ПО в серии тестов, ключевая роль в которых отводилась практической проблеме классификации кибератак. За основу были взяты общепринятые критерии классификации таких программ. Сюда вошли стандарты Microsoft Windows Malware, пакетов приложений для Android, определения вредоносного ПО в наборах данных Drebin dataset's и тест EMBER.
Учёные остались довольны результатами сравнения своей модели с базовыми и другими, недавно разработанными подходами машинного обучения для классификации кибератак. Производительность предложенного решения оказалась довольно высокой. Настолько, что сами разработчики считают свою модель буквально многообещающей, поскольку она превосходит другие методы в скорости выполнения диагностики и анализа, и достигает точности 99,3% в наборе данных Kaggle и 91% в наборе данных Drebin.
«Предлагаемый метод позволил достичь новых передовых результатов в тестах Microsoft Malware Classification Challenge, Drebin и EMBER malware, ‒ пишут авторы. ‒ С логарифмически линейной сложностью длины последовательности, эмпирические результаты демонстрируют существенно более быстрое выполнение посредством HGConv по сравнению с другими методами, достигая гораздо более эффективного масштабирования даже при длине последовательности ≥ 100 000».
Новую концепцию поиска шпионов и прочих программных вредителей на удлинённой цепи данных на основе HGConv, которая хорошо иллюстрируется ответом будущего агента Джея в фильме «Люди в чёрном» на вопрос «Почему вы пристрелили малышку Тиффани?», ждут дальнейшие усовершенствования и тесты в более широком спектре задач обнаружения посторонних аномалий вычислений и устройств. Команда прочит ей применение в различных системах ‒ от персональных до промышленных, и в том числе ‒ для нейросетей. По убеждению авторов, их инструмент способен кратно повысить безопасность, находя даже самые изощрённые происки злоумышленников и нивелировать их негативное воздействие.
АРМК, по материалам Science X.