VoodooShield usa ML.NET para detectar malware

VoodooShield es un bloqueo de equipo tangible de alternancia en ciberseguridad que ofrece una gran variedad de características muy avanzadas que no se encuentran en los productos tradicionales de listas de permitidos de aplicaciones. Está diseñado para complementar el software antivirus tradicional y de última generación, incluido Microsoft Defender. Mediante una combinación de posiciones de seguridad dinámicas, un motor contextual antimalware, un servicio de reputación de archivos avanzado (WhitelistCloud) y el análisis de características estáticas habilitado para el aprendizaje automático, VoodooShield bloquea automáticamente el equipo cuando está en riesgo.

Problema empresarial

Las organizaciones ya no pueden confiar únicamente en los productos tradicionales de ciberseguridad permitidos de forma predeterminada y necesitan avanzar hacia una posición de seguridad de confianza cero. El grado de protección aplicado a un sistema o punto de conexión depende en gran medida del nivel de amenaza. En la mayoría de los casos, el funcionamiento constante a un alto nivel de amenaza es poco práctico y costoso. Aunque los altos niveles de protección ayudan a minimizar el riesgo de una infracción, agregan fricción e interrupciones a los flujos de trabajo existentes. Por el contrario, el funcionamiento en un nivel de amenaza bajo aumenta la probabilidad de que se produzca una infracción. Por lo tanto, es importante tener posturas de seguridad dinámicas que actúen en función del contexto de nivel de amenaza no solo bloqueando las amenazas, sino también permitiendo automáticamente lo que se debe permitir. La transición a la confianza cero no es fácil. VoodooShield simplifica esa transición. Mediante el uso de diversas técnicas, incluido el aprendizaje automático, VoodooShield detecta malware en tiempo real y proporciona la información de los archivos del usuario final para que puedan tomar una decisión informada sobre si se permiten o bloquean archivos.

¿Por qué ML.NET?

VoodooShield ha estado usando soluciones de aprendizaje automático desde 2015. Aunque su solución anterior les ha funcionado muy bien a lo largo de los años, recientemente se les notificó que se retiraría pronto. Investigaron varias plataformas de aprendizaje automático nuevas y encontraron que ML.NET era una opción perfecta para VoodooShield. Como parte de su investigación, observaron que los algoritmos de aprendizaje automático han progresado significativamente en los últimos siete años. El resultado ha sido niveles sin precedentes de eficacia de detección de malware junto con una reducción significativa de falsos positivos.

ML.NET integrada en nuestra solución perfectamente y sin problemas."

Impacto de ML.NET

Desde que se usa ML.NET, la detección de malware y la tasa de falsos positivos de VoodooShield han mejorado considerablemente. Dado que todo el análisis de aprendizaje automático se realiza ahora en el equipo local en lugar de en la nube, VoodooShield puede proporcionar información de archivos mucho más rápido que antes. El uso de herramientas de ML.NET como Model Builder ha facilitado validar si ML.NET podría resolver su problema. Como resultado, pudieron pasar de la experimentación a la producción en cuestión de semanas.

Arquitectura de la solución

Datos

Los datos usados para entrenar modelos proceden de varios orígenes, como repositorios de malware y servicios en línea. El conjunto de entrenamiento de aproximadamente 1,2 GB de datos o unos 500 000 ejemplos se compone principalmente de archivos ejecutables portátiles (PE). El conjunto de datos tiene aproximadamente 224 características que contienen metadatos e información descriptiva sobre cada uno de los ejemplos. VoodooShield se basa en Model Builder para ayudarles a elegir las transformaciones de datos, como OneHotEncoding y FeaturizeText, para preparar sus datos para el entrenamiento.

Evaluación y consumo

Al completar el entrenamiento, varios de los modelos principales elegidos por Model Builder se evalúan con respecto a un conjunto de datos de prueba para elegir cuál funciona mejor frente a "real" Datos. Cuando se identifica el mejor modelo, ese modelo se integra en su aplicación de escritorio para proporcionar análisis de malware en tiempo real y recomendaciones a los usuarios finales sobre si bloquear o permitir determinados archivos en su equipo.