VoodooShield utilise ML.NET pour détecter les logiciels malveillants

VoodooShield est un verrou d'ordinateur à bascule tangible dans la cybersécurité qui offre une multitude de fonctionnalités très avancées que l'on ne trouve pas dans les produits traditionnels de liste d'autorisation d'applications. Il est conçu pour compléter les logiciels antivirus traditionnels et de nouvelle génération, y compris Microsoft Defender. En utilisant une combinaison de postures de sécurité dynamiques, un moteur contextuel antimalware, un service avancé de réputation des fichiers (WhitelistCloud) et une analyse des fonctionnalités statiques activées par l'apprentissage automatique, VoodooShield verrouille automatiquement votre ordinateur lorsqu'il est à risque.

Problème d’entreprise

Les organisations ne peuvent plus compter uniquement sur les produits de cybersécurité traditionnels autorisés par défaut et doivent évoluer vers une posture de sécurité zéro confiance. Le degré de protection appliqué à un système ou à un terminal dépend fortement du niveau de menace. Dans la plupart des cas, fonctionner constamment à un niveau de menace élevé est peu pratique et coûteux. Bien que des niveaux de protection élevés puissent aider à minimiser le risque de violation, ils ajoutent des frictions et des interruptions aux flux de travail existants. À l'inverse, fonctionner à un niveau de menace faible augmente la probabilité qu'une violation se produise. Par conséquent, il est important d'avoir des postures de sécurité dynamiques qui agissent en fonction du contexte du niveau de menace, non seulement en bloquant les menaces, mais aussi en autorisant automatiquement ce qui doit être autorisé. La transition vers la confiance zéro n'est pas facile. VoodooShield simplifie cette transition. Utilisant une variété de techniques, y compris l'apprentissage automatique, VoodooShield détecte les logiciels malveillants en temps réel et fournit à l'utilisateur final des informations sur les fichiers afin qu'ils puissent prendre une décision éclairée sur l'opportunité d'autoriser ou de bloquer des fichiers.

Pourquoi ML.NET ?

VoodooShield utilise des solutions d'apprentissage automatique depuis 2015. Bien que leur solution précédente ait extrêmement bien fonctionné pour eux au fil des ans, ils ont récemment été informés qu'elle allait bientôt être retirée. Ils ont étudié diverses nouvelles plateformes d’apprentissage automatique et ont découvert que ML.NET était parfaitement adapté à VoodooShield. Dans le cadre de leurs recherches, ils ont constaté que les algorithmes d’apprentissage automatique ont considérablement progressé au cours des sept dernières années. Le résultat a été des niveaux d’efficacité de détection de logiciels malveillants sans précédent ainsi qu’une réduction significative des faux positifs.

ML.NET s’intègre parfaitement et avec fluidité à notre solution.\ »

Impact de ML.NET

Depuis l'utilisation de ML.NET, la détection des logiciels malveillants et le taux de faux positifs de VoodooShield se sont considérablement améliorés. Étant donné que toutes les analyses d’apprentissage automatique sont désormais effectuées sur l’ordinateur local au lieu du cloud, VoodooShield est en mesure de fournir des informations sur les fichiers beaucoup plus rapidement qu’auparavant. L’utilisation d’outils ML.NET comme Model Builder a facilité la validation de la capacité de ML.NET à résoudre leur problème. Ils ont ainsi pu passer de l’expérimentation à la production en quelques semaines.

Architecture de la solution

Données

Les données utilisées pour former les modèles proviennent de diverses sources telles que les référentiels de logiciels malveillants et les services en ligne. L'ensemble d'apprentissage d'environ 1,2 Go de données ou environ 500 000 échantillons est composé principalement de fichiers exécutables portables (PE). L'ensemble de données contient environ 224 caractéristiques contenant des métadonnées et des informations descriptives sur chacun des échantillons. VoodooShield s'appuie sur Model Builder pour les aider à choisir les transformations de données, telles que OneHotEncoding et FeaturizeText, afin de préparer leurs données pour la formation.

Évaluation et consommation

Une fois la formation terminée, plusieurs des meilleurs modèles choisis par Model Builder sont évalués par rapport à un ensemble de données de test pour choisir celui qui fonctionne le mieux par rapport aux données "réelles". Lorsque le meilleur modèle est identifié, ce modèle est intégré à leur application de bureau pour fournir une analyse des logiciels malveillants en temps réel et des recommandations aux utilisateurs finaux sur l'opportunité de bloquer ou d'autoriser certains fichiers sur leur ordinateur.