VoodooShield menggunakan ML.NET untuk mendeteksi malware

VoodooShield adalah kemajuan penting dalam keamanan cyber yang menawarkan banyak fitur canggih yang tidak ditemukan dalam produk aplikasi tradisional yang bergantung pada daftar tepercaya. VoodooShield dirancang untuk melengkapi perangkat lunak antivirus tradisional dan generasi mendatang, termasuk Microsoft Defender. Menggunakan kombinasi model keamanan dinamis, mesin kontekstual antimalware, layanan reputasi file tingkat lanjut (WhitelistCloud), dan analisis fitur statis yang didukung pembelajaran mesin, VoodooShield secara otomatis mengunci komputer Anda saat berisiko.

Masalah bisnis

Organisasi tidak dapat lagi hanya mengandalkan produk keamanan cyber yang diizinkan secara default dan perlu beralih ke model keamanan zero-trust. Tingkat perlindungan yang diterapkan pada sistem atau titik akhir sangat bergantung pada tingkat ancaman. Umumnya, beroperasi pada tingkat ancaman tinggi sepanjang waktu akan merepotkan dan mahal. Tingkat perlindungan yang tinggi memang dapat membantu meminimalkan risiko pelanggaran keamanan, namun menambah hambatan dan gangguan pada alur kerja yang ada. Sebaliknya, beroperasi pada tingkat ancaman rendah meningkatkan kemungkinan terjadinya pelanggaran keamanan. Oleh karena itu, penting untuk memiliki model keamanan dinamis yang bertindak berdasarkan konteks tingkat ancaman, tidak hanya memblokir ancaman tetapi juga mengizinkan secara otomatis yang seharusnya diizinkan. Transisi ke zero-trust bukanlah hal yang mudah. VoodooShield menyederhanakan transisi tersebut. Dengan memanfaatkan berbagai teknik termasuk pembelajaran mesin, VoodooShield mendeteksi malware secara real time dan memberikan wawasan file kepada pengguna akhir sehingga mereka dapat mengambil keputusan yang tepat untuk mengizinkan atau memblokir file.

Mengapa ML.NET?

VoodooShield telah menggunakan solusi pembelajaran mesin sejak tahun 2015. Meskipun solusi mereka sebelumnya berfungsi dengan sangat baik selama bertahun-tahun, baru-baru ini mereka diberitahu bahwa solusi tersebut akan segera dihentikan. Mereka meneliti berbagai platform pembelajaran mesin baru dan menemukan bahwa ML.NET sangat cocok untuk VoodooShield. Sebagai bagian dari riset, mereka melihat bahwa algoritma pembelajaran mesin telah mengalami kemajuan secara signifikan dalam tujuh tahun terakhir. Hasilnya adalah tingkat efektivitas deteksi program jahat yang belum pernah ada sebelumnya, serta pengurangan positif palsu yang signifikan.

ML.NET terintegrasi ke dalam solusi kami dengan sempurna dan lancar."

Dampak ML.NET

Sejak menggunakan ML.NET, deteksi program jahat dan tingkat positif palsu VoodooShield telah meningkat secara dramatis. Karena semua analisis pembelajaran mesin kini dilakukan di komputer lokal, bukan di cloud, VoodooShield dapat memberikan wawasan file jauh lebih cepat dari sebelumnya. Menggunakan alat ML.NET seperti Penyusun Model memudahkan untuk memvalidasi apakah ML.NET dapat mengatasi masalah mereka. Hasilnya, mereka dapat beralih dari eksperimentasi ke produksi dalam hitungan minggu.

Arsitektur solusi

Data

Data yang digunakan untuk melatih model berasal dari berbagai sumber seperti reposisi malware dan layanan online. Kumpulan pelatihan berisi sekitar 1,2 GB data atau sekitar 500.000 sampel sebagian besar terdiri dari file portabel executable (PE). Himpunan data memiliki sekitar 224 fitur yang berisi metadata dan informasi deskriptif tentang setiap sampel. VoodooShield mengandalkan Model Builder untuk membantu mereka dalam memilih transformasi data, seperti OneHotEncoding dan FeaturizeText, guna menyiapkan datanya untuk pelatihan.

Evaluasi dan penggunaan

Setelah pelatihan selesai, beberapa model teratas yang dipilih oleh Model Builder dievaluasi berdasarkan himpunan data pengujian untuk memilih mana yang kinerjanya paling baik untuk data "real". Setelah teridentifikasi, model terbaik itu diintegrasikan ke dalam aplikasi desktop mereka untuk memberikan analisis dan rekomendasi malware secara real time kepada pengguna akhir untuk memblokir atau mengizinkan file tertentu di komputer mereka.