VoodooShield usa ML.NET per rilevare malware

VoodooShield è un blocco computer dinamico in cybersecurity che offre una serie di funzionalità altamente avanzate non trovate nei prodotti dell'elenco di applicazioni tradizionali. È progettato per integrare il software antivirus tradizionale e di nuova generazione, inclusi i Microsoft Defender. Usando una combinazione di comportamenti di sicurezza dinamici, un motore contestuale antimalware, un servizio di reputazione file avanzato (WhitelistCloud) e l'analisi delle funzionalità statiche abilitata da Machine Learning, VoodooShield blocca automaticamente il computer quando è a rischio.

Problema aziendale

Le organizzazioni non possono più fare affidamento solo sui prodotti di cybersecurity tradizionali consentiti per impostazione predefinita e devono passare a un comportamento di sicurezza zero-trust. Il livello di protezione applicato a un sistema o a un endpoint dipende in modo elevato dal livello di minaccia. Nella maggior parte dei casi, operare costantemente a un livello di minaccia elevato è rischioso e dispendioso. Anche se livelli elevati di protezione possono contribuire a ridurre al minimo il rischio di violazione, aggiungono conflitti e interruzioni ai flussi di lavoro esistenti. Al contrario, il funzionamento a un livello di minaccia basso aumenta la probabilità che si verifichi una violazione. Pertanto, è importante avere posizioni di sicurezza dinamiche che agiscano in base al contesto del livello di minaccia, non solo bloccando le minacce, ma anche consentendo automaticamente ciò che deve essere consentito. La transizione alla relazione zero-trust non è facile. VoodooShield semplifica la transizione. Usando una vasta gamma di tecniche, tra cui Machine Learning, VoodooShield rileva il malware in tempo reale e fornisce informazioni dettagliate sui file dell'utente finale in modo che poss prendere una decisione informata sull'autorizzazione o il blocco dei file.

Perché ML.NET?

VoodooShield usa soluzioni di apprendimento automatico dal 2015. Anche se la soluzione precedente ha funzionato molto bene nel corso degli anni, di recente è stata inviata una notifica che la soluzione sarebbe stata ritirata a breve. Hanno eseguito ricerche su varie nuove piattaforme di apprendimento automatico e hanno scoperto che ML.NET era la scelta ideale per VoodooShield. Nell'ambito della ricerca, hanno notato che gli algoritmi di apprendimento automatico hanno registrato progressi significativi negli ultimi sette anni. Il risultato è stato livelli senza precedenti di efficacia del rilevamento di malware insieme a una riduzione significativa dei falsi positivi.

ML.NET si è integrato perfettamente nella nostra soluzione."

Impatto di ML.NET

Dall'uso di ML.NET, il rilevamento di malware e la frequenza dei falsi positivi di VoodooShield sono notevolmente migliorati. Poiché tutte le analisi di apprendimento automatico vengono ora eseguite nel computer locale anziché nel cloud, VoodooShield è in grado di fornire informazioni dettagliate sui file molto più velocemente rispetto a prima. L'uso di strumenti ML.NET come Model Builder ha semplificato la verifica della possibilità di risolvere il problema ML.NET. Di conseguenza, sono stati in grado di passare dalla sperimentazione alla produzione in poche settimane.

Architettura della soluzione

Dati

I dati usati per il training dei modelli provengono da varie origini, ad esempio repository di malware e Servizi online. Il set di training di circa 1,2 GB di dati o circa 500.000 campioni è costituito principalmente da file eseguibili portatili (PE). Il set di dati contiene circa 224 funzionalità contenenti metadati e informazioni descrittive su ogni campione. VoodooShield si basa su Model Builder per assisterli nella scelta delle trasformazioni dei dati, come OneHotEncoding e FeaturizeText, per preparare i dati per il training.

Valutazione e consumo

Al termine del training, diversi dei modelli principali scelti da Model Builder vengono valutati rispetto a un set di dati di test per scegliere quello con le prestazioni migliori rispetto ai dati "reali". Quando viene identificato il modello migliore, tale modello viene integrato nell'applicazione desktop per fornire agli utenti finali l'analisi del malware in tempo reale e consigli su come bloccare o consentire determinati file nel computer.