VoodooShield 使用 ML.NET 来检测恶意软件

VoodooShield 是网络安全中的一种有形的切换计算机锁，它提供了许多传统应用程序允许列表产品中没有的高级功能。它旨在补充传统和下一代防病毒软件，包括 Microsoft Defender。VoodooShield 结合使用动态安全状况、反恶意软件上下文引擎、高级文件信誉服务(WhitelistCloud)和启用了机器学习的静态特征分析，可以在计算机面临风险时自动锁定计算机。

业务问题

组织不能再仅仅依赖传统的默认允许网络安全产品，并且需要向零信任安全状况发展。应用于系统或终结点的保护程度在很大程度上取决于威胁级别。大多数情况下，在高威胁级别下持续运行是不方便的，而且成本很高。尽管高级别保护有助于最大程度地降低违规风险，但会增加现有工作流的摩擦和中断。相反，在低威胁级别运行会增加违规发生的可能性。因此，必须拥有基于威胁级别上下文的动态安全状况，这不仅可以阻止威胁，而且可以自动允许需要允许的内容。向零信任的转换并非易事，但 VoodooShield 简化了这一过程。利用包括机器学习在内的各种技术，VoodooShield 可实时检测恶意软件，并为最终用户提供文件见解，以便他们能够针对允许或阻止文件做出明智的决策。

为什么选择 ML.NET?

VoodooShield 自 2015 年起一直在使用机器学习解决方案。虽然他们之前的解决方案多年来一直非常有用，但最近他们收到通知，该解决方案将停用。他们研究了各种新的机器学习平台，发现 ML.NET 非常适合 VoodooShield。作为研究的一部分，他们注意到机器学习算法在过去七年中取得了重大进展。因此，恶意软件检测效率空前高涨，误报显著减少。

ML.NET 已经完美无缝地集成到我们的解决方案中。”

ML.NET 的影响

自使用 ML.NET 以来，VoodooShield 的恶意软件检测和误报率有了显著改善。由于所有机器学习分析现在都在本地计算机上而不是云上执行，因此 VoodooShield 能够比以前更快地提供文件见解。使用 ML.NET 工具(如 Model Builder) 可以轻松验证 ML.NET 是否可以解决问题。因此，他们能够在几周内从试验转到生产。

解决方案体系结构

数据

用于训练模型的数据来自各种源，例如恶意软件存储库和联机服务。训练集包括大约 1.2 GB 数据或大约 500，000 个示例，主要由可移植可执行(PE)文件组成。数据集具有大约 224 个功能，其中包含有关每个示例的元数据和描述性信息。VoodooShield 依靠 Model Builder 来帮助他们选择数据转换(如 OneHotEncoding 和 FeaturizeText)，以准备用于训练的数据。

评估和使用

训练完成后，将根据测试数据集评估由 Model Builder 选择的几个排名靠前的模型，以选择哪一个模型针对“真实”数据表现最佳。确定最佳模型后，该模型将集成到其桌面应用程序中，以向最终用户提供实时恶意软件分析和建议，从而决定是阻止还是允许其计算机上的某些文件。