VoodooShield использует ML.NET для обнаружения вредоносных программ

VoodooShield — ощутимый прогресс в кибербезопасности, предлагающий множество передовых функций, которые отсутствуют в традиционных приложениях, полагающихся на списки доверенных объектов. Эта платформа разработана как дополнение традиционных антивирусных программ нынешнего и следующего поколений, в том числе Microsoft Defender. Используя сочетание динамических уровней безопасности, контекстного модуля защиты от вредоносных программ, расширенной службы репутации файлов (WhitelistCloud) и анализа статических функций с поддержкой машинного обучения, VoodooShield автоматически блокирует компьютер, когда он находится под угрозой.

Бизнес-проблема

Организации больше не могут полагаться исключительно на стандартные продукты кибербезопасности с разрешением по умолчанию и должны перейти к стратегии безопасности, построенной на принципе нулевого доверия. Степень защиты, применяемая к системе или конечной точке, сильно зависит от уровня угрозы. В большинстве случаев постоянно работать в режиме высокой степени угрозы неудобно и слишком дорого. Да, высокий уровень защиты может снизить риск нарушения безопасности, но при этом добавляет конфликты и прерывания в существующие рабочие процессы. И наоборот, работа в режиме низкого уровня угрозы повышает вероятность нарушения безопасности. Поэтому важно иметь динамические состояния безопасности, которые действуют на основе контекста уровня угроз и не только блокируют угрозы, но и автоматически разрешают то, что нужно разрешить. Переход к принципу нулевого доверия нелегок. VoodooShield упрощает этот переход. Используя различные методы, в том числе машинное обучение, VoodooShield обнаруживает вредоносные программы в режиме реального времени и предоставляет аналитические сведения о файлах для конечных пользователей, чтобы они могли принимать обоснованные решения о том, следует ли разрешать или блокировать файлы.

Почему ML.NET?

VoodooShield использует решения машинного обучения с 2015 года. Хотя их предыдущее решение работало для них очень хорошо на протяжении многих лет, недавно их уведомили, что оно скоро будет прекращено. Они исследовали различные новые платформы машинного обучения и обнаружили, что ML.NET идеально подходит для VoodooShield. В ходе своего исследования они заметили, что алгоритмы машинного обучения значительно усовершенствовались за последние семь лет. Результатом этого стали беспрецедентные уровни эффективности обнаружения вредоносных программ, а также значительное сокращение ложных срабатываний.

ML.NET идеально интегрировалась в наше решение".

Влияние ML.NET

С момента использования ML.NET эффективность обнаружения вредоносных программы и процент ложных срабатываний VoodooShield значительно возросли. Поскольку весь анализ машинного обучения теперь выполняется на локальном компьютере, а не в облаке, VoodooShield может предоставлять информацию о файлах гораздо быстрее, чем раньше. Использование инструментов ML.NET, таких как Model Builder, позволило легко проверить, может ли ML.NET решить их проблему. В результате им удалось перейти от экспериментов к производству всего за несколько недель.

Архитектура решения

Данные

Данные, используемые для обучения моделей, поступили из различных источников, таких как репозитории вредоносных программ и веб-службы. Обучающий набор данных объемом около 1,2 ГБ или около 500 000 образцов содержит в основном переносимые исполняемые (PE) файлы. Набор данных содержит около 224 функций, содержащих метаданные и описательные сведения о каждом образце. VoodooShield использует Model Builder, чтобы помочь в выборе преобразований данных, таких как OneHotEncoding и FeaturizeText, для подготовки данных к обучению.

Оценка и потребление

По завершении обучения несколько лучших моделей, выбранных Model Builder, вычисляются на тестовом наборе данных, чтобы выбрать, какая из них лучше всего подходит для "настоящих" данных. После выбора лучшая модель интегрируется в настольное приложение, чтобы обеспечить анализ вредоносных программ в режиме реального времени и рекомендации для конечных пользователей о том, следует ли блокировать или разрешить определенные файлы на компьютере.