VoodooShield использует ML.NET для обнаружения вредоносных программ

VoodooShield — ощутимый прогресс в кибербезопасности, предлагающий множество передовых функций, которые отсутствуют в традиционных приложениях, полагающихся на списки доверенных объектов. Эта платформа разработана как дополнение традиционных антивирусных программ нынешнего и следующего поколений, в том числе Microsoft Defender. Используя сочетание динамических уровней безопасности, контекстного модуля защиты от вредоносных программ, расширенной службы репутации файлов (WhitelistCloud) и анализа статических функций с поддержкой машинного обучения, VoodooShield автоматически блокирует компьютер, когда он находится под угрозой.

Бизнес-проблема

Организации больше не могут полагаться исключительно на стандартные продукты кибербезопасности с разрешением по умолчанию и должны перейти к стратегии безопасности, построенной на принципе нулевого доверия. Степень защиты, применяемая к системе или конечной точке, сильно зависит от уровня угрозы. В большинстве случаев постоянно работать в режиме высокой степени угрозы неудобно и слишком дорого. Да, высокий уровень защиты может снизить риск нарушения безопасности, но при этом добавляет конфликты и прерывания в существующие рабочие процессы. И наоборот, работа в режиме низкого уровня угрозы повышает вероятность нарушения безопасности. Поэтому важно иметь динамические состояния безопасности, которые действуют на основе контекста уровня угроз и не только блокируют угрозы, но и автоматически разрешают то, что нужно разрешить. Переход к принципу нулевого доверия нелегок. VoodooShield упрощает этот переход. Используя различные методы, в том числе машинное обучение, VoodooShield обнаруживает вредоносные программы в режиме реального времени и предоставляет аналитические сведения о файлах для конечных пользователей, чтобы они могли принимать обоснованные решения о том, следует ли разрешать или блокировать файлы.

Почему ML.NET?

VoodooShield использует решения для машинного обучения с 2015 года. Хотя их предыдущее решение работало очень хорошо на протяжении многих лет, недавно они были уведомлены о том, что оно скоро будет удалено. Они исследовали различные новые платформы машинного обучения и обнаружили, что ML.NET идеально подходит для VoodooShield. В рамках своего исследования они заметили, что алгоритмы машинного обучения значительно продвинулись за последние семь лет. Результатом этого стал беспрецедентный уровень эффективности обнаружения вредоносного ПО наряду со значительным сокращением ложных срабатываний.

ML.NET идеально интегрировалась в наше решение".

Влияние ML.NET

С момента начала использования ML.NET уровень обнаружения вредоносных программ VoodooShield и уровень ложных срабатываний значительно улучшились. Поскольку весь анализ машинного обучения теперь выполняется на локальном компьютере, а не в облаке, VoodooShield может предоставлять информацию о файлах намного быстрее, чем раньше. Использование инструментов ML.NET, таких как Model Builder, упростило проверку того, может ли ML.NET решить их проблему. В результате они смогли перейти от экспериментов к производству за считанные недели.

Архитектура решения

Данные

Данные, используемые для обучения моделей, поступили из различных источников, таких как репозитории вредоносных программ и веб-службы. Обучающий набор данных объемом около 1,2 ГБ или около 500 000 образцов содержит в основном переносимые исполняемые (PE) файлы. Набор данных содержит около 224 функций, содержащих метаданные и описательные сведения о каждом образце. VoodooShield использует Model Builder, чтобы помочь в выборе преобразований данных, таких как OneHotEncoding и FeaturizeText, для подготовки данных к обучению.

Оценка и потребление

По завершении обучения несколько лучших моделей, выбранных Model Builder, вычисляются на тестовом наборе данных, чтобы выбрать, какая из них лучше всего подходит для "настоящих" данных. После выбора лучшая модель интегрируется в настольное приложение, чтобы обеспечить анализ вредоносных программ в режиме реального времени и рекомендации для конечных пользователей о том, следует ли блокировать или разрешить определенные файлы на компьютере.