VoodooShield 使用 ML.NET 来检测恶意软件

VoodooShield 是网络安全中的一种有形的切换计算机锁，它提供了许多传统应用程序允许列表产品中没有的高级功能。它旨在补充传统和下一代防病毒软件，包括 Microsoft Defender。VoodooShield 结合使用动态安全状况、反恶意软件上下文引擎、高级文件信誉服务(WhitelistCloud)和启用了机器学习的静态特征分析，可以在计算机面临风险时自动锁定计算机。

业务问题

组织不能再仅仅依赖传统的默认允许网络安全产品，并且需要向零信任安全状况发展。应用于系统或终结点的保护程度在很大程度上取决于威胁级别。大多数情况下，在高威胁级别下持续运行是不方便的，而且成本很高。尽管高级别保护有助于最大程度地降低违规风险，但会增加现有工作流的摩擦和中断。相反，在低威胁级别运行会增加违规发生的可能性。因此，必须拥有基于威胁级别上下文的动态安全状况，这不仅可以阻止威胁，而且可以自动允许需要允许的内容。向零信任的转换并非易事，但 VoodooShield 简化了这一过程。利用包括机器学习在内的各种技术，VoodooShield 可实时检测恶意软件，并为最终用户提供文件见解，以便他们能够针对允许或阻止文件做出明智的决策。

为什么选择 ML.NET?

自 2015 年以来，VoodooShield 一直在使用机器学习解决方案。虽然之前的解决方案多年来非常适合他们，但最近他们收到了该解决方案即将停用的通知。他们研究了各种新的机器学习平台，发现 ML.NET 非常适合 VodoroShield。作为研究的一部分，他们注意到机器学习算法在过去七年中取得了重大进展。其结果是恶意软件检测效率达到前所未有的水平，并且误报现象显著减少。

ML.NET 已经完美无缝地集成到我们的解决方案中。”

ML.NET 的影响

自从使用 ML.NET 以来，VoodooShield 的恶意软件检测和误报率有了显著提高。由于所有机器学习分析现在都在本地计算机而不是云端执行，VoodooShield 能够比以前更快地提供文件见解。使用 Model Builder 等 ML.NET 工具可以轻松验证 ML.NET 是否可以解决其问题。因此，他们能够在几周内从试验阶段进入生产阶段。

解决方案体系结构

数据

用于训练模型的数据来自各种源，例如恶意软件存储库和联机服务。训练集包括大约 1.2 GB 数据或大约 500，000 个示例，主要由可移植可执行(PE)文件组成。数据集具有大约 224 个功能，其中包含有关每个示例的元数据和描述性信息。VoodooShield 依靠 Model Builder 来帮助他们选择数据转换(如 OneHotEncoding 和 FeaturizeText)，以准备用于训练的数据。

评估和使用

训练完成后，将根据测试数据集评估由 Model Builder 选择的几个排名靠前的模型，以选择哪一个模型针对“真实”数据表现最佳。确定最佳模型后，该模型将集成到其桌面应用程序中，以向最终用户提供实时恶意软件分析和建议，从而决定是阻止还是允许其计算机上的某些文件。