LEBIGDATA.FR I.A, Cloud & Cybersécurité
La combinaison de la visualisation binaire et de l'apprentissage automatique est une technique puissante qui peut apporter de nouvelles solutions à d'anciens problèmes. Il s'agit d'une méthode prometteuse en matière de cybersécurité. Mais celle-ci pourrait également être appliquée à d'autres domaines.
Détecter les malwares grâce au Deep Learning
La façon traditionnelle de détecter les logiciels malveillants consiste à rechercher dans les fichiers les signatures inscrites dans les charges utiles malveillantes. Les détecteurs de logiciels malveillants maintiennent une base de données de définitions de virus qui incluent des séquences d'opcode ou des extraits de code. Ceux-ci recherchent ensuite de nouveaux fichiers pour la présence de ces signatures. Malheureusement, les développeurs de logiciels malveillants peuvent facilement contourner ces méthodes de détection en utilisant différentes techniques comme l'obscurcissement de leur code ou l'utilisation de techniques de polymorphisme pour muter leur code lors de l'exécution.
Les outils d'analyse dynamique tentent de détecter les comportements malveillants pendant l'exécution. Mais ils sont lents et nécessitent la configuration d'un environnement sandbox pour tester les programmes suspects. La visualisation binaire peut redéfinir la détection des logiciels malveillants en la transformant en un problème de vision par ordinateur. Dans cette méthodologie, les fichiers sont exécutés via des algorithmes qui transforment les valeurs binaires et ASCII en codes de couleur.
Faire la différence entre les fichiers malveillants et les fichiers sûrs
Lorsque des fichiers bénins et malveillants étaient visualisés à l'aide de cette méthode, de nouveaux modèles émergent qui séparent les fichiers malveillants des fichiers sûrs. Ces différences seraient passées inaperçues avec les méthodes classiques de détection des malwares. Les fichiers malveillants ont tendance à inclure souvent des caractères ASCII de différentes catégories, présentant une image colorée. Les fichiers bénins, eux, ont une image et une distribution des valeurs plus nettes.
Avec de tels modèles détectables, il est possible d'entraîner un réseau de neurones artificiels à faire la différence entre les fichiers malveillants et les fichiers sûrs. Les chercheurs ont créé un ensemble de données de fichiers binaires visualisés comprenant à la fois des fichiers bénins et malins. L'ensemble de données contenait une variété de charges utiles malveillantes (virus, vers, chevaux de Troie, rootkits, etc.) et types de fichiers (.exe, .doc, .pdf, .txt, etc.).
Utiliser les images pour former un réseau de neurones classificateur
Les chercheurs ont utilisé les images pour former un réseau de neurones classificateur. Ils utilisent le réseau neuronal incrémental auto-organisé (SOINN), qui est à la fois rapide et particulièrement efficace pour traiter les données bruitées. Ils ont également utilisé une technique de prétraitement d'image pour réduire les images binaires en vecteurs de caractéristiques de 1 024 dimensions. Cela facilite et optimise l'apprentissage des modèles dans les données d'entrée.
Les expériences des chercheurs ont montré que le modèle de Deep Learning était particulièrement efficace pour détecter les logiciels malveillants dans les fichiers .doc et .pdf, des supports préférés largement utilisés pour les attaques de ransomware. Les chercheurs ont suggéré que les performances du modèle peuvent être améliorées s'il est ajusté pour prendre le type de fichier comme l'une de ses dimensions d'apprentissage. Dans l'ensemble, l'algorithme a atteint un taux de détection moyen d'environ 74 %.
- Partager l'article :
