VoodooShield usa ML.NET para detectar malware

VoodooShield es un bloqueo de equipo tangible de alternancia en ciberseguridad que ofrece una gran variedad de características muy avanzadas que no se encuentran en los productos tradicionales de listas de permitidos de aplicaciones. Está diseñado para complementar el software antivirus tradicional y de última generación, incluido Microsoft Defender. Mediante una combinación de posiciones de seguridad dinámicas, un motor contextual antimalware, un servicio de reputación de archivos avanzado (WhitelistCloud) y el análisis de características estáticas habilitado para el aprendizaje automático, VoodooShield bloquea automáticamente el equipo cuando está en riesgo.

Problema empresarial

Las organizaciones ya no pueden confiar únicamente en los productos tradicionales de ciberseguridad permitidos de forma predeterminada y necesitan avanzar hacia una posición de seguridad de confianza cero. El grado de protección aplicado a un sistema o punto de conexión depende en gran medida del nivel de amenaza. En la mayoría de los casos, el funcionamiento constante a un alto nivel de amenaza es poco práctico y costoso. Aunque los altos niveles de protección ayudan a minimizar el riesgo de una infracción, agregan fricción e interrupciones a los flujos de trabajo existentes. Por el contrario, el funcionamiento en un nivel de amenaza bajo aumenta la probabilidad de que se produzca una infracción. Por lo tanto, es importante tener posturas de seguridad dinámicas que actúen en función del contexto de nivel de amenaza no solo bloqueando las amenazas, sino también permitiendo automáticamente lo que se debe permitir. La transición a la confianza cero no es fácil. VoodooShield simplifica esa transición. Mediante el uso de diversas técnicas, incluido el aprendizaje automático, VoodooShield detecta malware en tiempo real y proporciona la información de los archivos del usuario final para que puedan tomar una decisión informada sobre si se permiten o bloquean archivos.

¿Por qué ML.NET?

VoodooShield ha estado usando soluciones de aprendizaje automático desde 2015. Aunque la solución anterior funcionó muy bien a lo largo de los años, recientemente se notificó que se retiraría pronto. Se investigaron varias plataformas de aprendizaje automático nuevas y se dieron cuenta de que ML.NET era la opción perfecta para VoodooShield. Como parte de la investigación, se observó que los algoritmos de aprendizaje automático progresaron significativamente en los últimos siete años. El resultado han sido niveles sin precedentes de eficacia de detección de malware, junto con una reducción significativa de falsos positivos.

ML.NET integrada en nuestra solución perfectamente y sin problemas."

Impacto de ML.NET

Desde que se usa ML.NET, la tasa de falsos positivos y la detección de malware de VoodooShield han mejorado considerablemente. Dado que todo el análisis de aprendizaje automático ya se realiza en el equipo local en lugar de en la nube, VoodooShield puede proporcionar información sobre los archivos mucho más rápido que antes. El uso de herramientas de ML.NET, como Model Builder, facilita la validación de si ML.NET podría resolver los problemas. Como resultado, fue posible pasar de la experimentación a la producción en cuestión de semanas.

Arquitectura de la solución

Datos

Los datos usados para entrenar modelos proceden de varios orígenes, como repositorios de malware y servicios en línea. El conjunto de entrenamiento de aproximadamente 1,2 GB de datos o unos 500 000 ejemplos se compone principalmente de archivos ejecutables portátiles (PE). El conjunto de datos tiene aproximadamente 224 características que contienen metadatos e información descriptiva sobre cada uno de los ejemplos. VoodooShield se basa en Model Builder para ayudarles a elegir las transformaciones de datos, como OneHotEncoding y FeaturizeText, para preparar sus datos para el entrenamiento.

Evaluación y consumo

Al completar el entrenamiento, varios de los modelos principales elegidos por Model Builder se evalúan con respecto a un conjunto de datos de prueba para elegir cuál funciona mejor frente a "real" Datos. Cuando se identifica el mejor modelo, ese modelo se integra en su aplicación de escritorio para proporcionar análisis de malware en tiempo real y recomendaciones a los usuarios finales sobre si bloquear o permitir determinados archivos en su equipo.