VoodooShield는 ML.NET을 사용하여 맬웨어를 감지합니다.

VoodooShield는 기존 애플리케이션 허용 목록 제품에서 볼 수 없는 다양한 고급 기능을 제공하는 사이버 보안의 실질적인 토글 컴퓨터 잠금 장치입니다. Microsoft Defender를 비롯한 기존 및 차세대 바이러스 백신 소프트웨어를 보완하도록 설계되었습니다. 동적 보안 태세, 맬웨어 방지 컨텍스트 엔진, 고급 파일 평판 서비스(WhitelistCloud) 및 기계 학습 지원 정적 기능 분석의 조합을 사용하여 VoodooShield는 컴퓨터가 위험할 때 자동으로 컴퓨터를 잠급니다.

비즈니스 문제

조직은 더 이상 기본적으로 허용되는 기존의 사이버 보안 제품에만 의존할 수 없으며 제로 트러스트 보안 상태로 전환해야 합니다. 시스템 또는 엔드포인트에 적용되는 보호 수준은 위협 수준에 따라 크게 달라집니다. 대부분의 경우 높은 위협 수준에서 지속적으로 운영하는 것은 불편하고 비용이 많이 듭니다. 높은 수준의 보호는 침해 위험을 최소화하는 데 도움이 될 수 있지만 기존 워크플로에 마찰과 중단을 가중시킵니다. 반대로 낮은 위협 수준에서 운영하면 위반이 발생할 가능성이 높아집니다. 따라서 위협을 차단할 뿐만 아니라 허용해야 하는 항목을 자동으로 허용하는 위협 수준 컨텍스트를 기반으로 작동하는 동적 보안 태세를 갖추는 것이 중요합니다. 제로 트러스트로의 전환은 쉬운 일이 아닙니다. VoodooShield는 이러한 전환을 단순화합니다. 기계 학습을 포함한 다양한 기술을 활용하는 VoodooShield는 실시간으로 맬웨어를 감지하고 최종 사용자 파일 통찰력을 제공하여 파일 허용 또는 차단 여부에 대한 정보에 입각한 결정을 내릴 수 있도록 합니다.

왜 ML.NET를 사용해야 하나요?

VoodooShield는 2015년부터 기계 학습 솔루션을 사용해 왔습니다. 이전 솔루션은 몇 년 동안 매우 잘 작동되었지만, 최근에 곧 사용 중지된다는 알림을 받았습니다. 다양한 새로운 기계 학습 플랫폼을 조사한 후 ML.NET이 VoodooShield에 완벽하게 적합하다는 것을 발견했습니다. 연구 결과, 지난 7년 동안 기계 학습 알고리즘이 크게 발전했음을 발견했습니다. 그 결과 맬웨어 탐지 효율성과 가양성이 전례 없는 수준으로 많이 감소했습니다.

ML.NET이 우리 솔루션에 완벽하고 원활하게 통합되었습니다."

ML.NET의 영향

ML.NET을 사용한 이후 VoodooShield의 맬웨어 탐지 및 가양성 비율이 크게 개선되었습니다. 이제 클라우드 대신 로컬 컴퓨터에서 모든 기계 학습 분석이 수행되므로 VoodooShield는 이전보다 훨씬 빠르게 파일 인사이트를 제공할 수 있습니다. Model Builder와 같은 ML.NET 도구를 사용하면 ML.NET 문제를 해결할 수 있는지를 쉽게 확인할 수 있습니다. 그 결과 실험에서 생산까지 몇 주 만에 완료할 수 있었습니다.

솔루션 아키텍처

데이터

모델 훈련에 사용되는 데이터는 맬웨어 저장소 및 온라인 서비스와 같은 다양한 소스에서 가져옵니다. 약 1.2GB의 데이터 또는 약 500,000개의 샘플로 구성된 훈련 세트는 주로 PE(Portable Executable) 파일로 구성됩니다. 데이터 세트에는 메타데이터와 각 샘플에 대한 설명 정보가 포함된 약 224개의 기능이 있습니다. VoodooShield는 Model Builder를 사용하여 OneHotEncoding 및 FeaturizeText와 같은 데이터 변환을 선택하여 교육용 데이터를 준비합니다.

평가 및 소비

교육이 완료되면 Model Builder에서 선택한 여러 상위 모델을 테스트 데이터 세트와 비교하여 평가하여 "실제" 데이터에 가장 적합한 모델을 선택합니다. 최적의 모델이 식별되면 해당 모델이 데스크톱 애플리케이션에 통합되어 최종 사용자에게 컴퓨터의 특정 파일을 차단할지 또는 허용할지에 대한 실시간 맬웨어 분석 및 권장 사항을 제공합니다.