VoodooShield 使用 ML.NET 偵測惡意程式碼
產品與服務
ML.NET
Visual Studio
WinForms
Azure SQL Database
SQL Server Management Studio
Windows Server
IIS Web Server
Windows 10 Pro
產業
技術
組織規模
小型 (1-100 名員工)
國家/地區
美國
VoodooShield 結合使用動態安全性狀態、反惡意程式碼關聯式引擎、進階檔案信譽服務 (WhitelistCloud) 和啟用機器學習的靜態功能分析,可以在電腦面臨風險時自動鎖定電腦。
商務問題
組織無法再只依賴傳統的預設允許網路安全產品,而且必須向零信任安全性態勢發展。套用到系統或端點的保護程度在很大程度上取決於威脅層級。大多數情況下,在高威脅層級下持續運作不方便且成本高。儘管高級別保護有助於將入侵的風險降至最低,但會增加現有工作流程的干擾和中斷。相反地,在低威脅層級運作會增加入侵的可能性。因此,必須擁有以威脅層級內容為基礎的動態安全性態勢,這不僅可以阻止威脅,而且可以自動允許需要允許的內容。轉換成零信任並非易事,但 VoodooShield 簡化了此過程。利用包括機器學習在內的各種技術,VoodooShield 可即時偵測惡意程式碼,並為使用者提供檔案深入解析,讓他們能夠針對允許或封鎖檔案做出明智的決策。
為什麼要使用 ML.NET?
VoodooShield 自 2015 年起一直使用機器學習解決方案。雖然他們之前的解決方案在過去這些年運作非常良好,但他們最近收到通知方案即將淘汰。他們研究了各種新的機器學習平台,並發現 ML.NET 非常適合 VoodooShield。作為研究的一部分,他們注意到機器學習演算法在過去七年中有顯著的進展。其結果是惡意程式碼偵測出現前所未有的程度,同時誤判也大幅降低。
ML.NET 已經完美且順暢地整合到我們的解決方案中。」
ML.NET 的影響
自使用 ML.NET 以來,VoodooShield 的惡意程式碼偵測和誤判為真率已大幅改善。由於現在已在本機電腦上執行所有機器學習分析,而非在雲端上執行,因此 VoodooShield 能夠比之前更快速地提供檔案深入解析。使用Model Builder等 ML.NET 工具可讓您輕鬆驗證 ML.NET 是否能解決其問題。因此,他們可以在數星期內從實驗進入生產環境。
解決方案架構
資料
用於訓練模型的資料來自多種來源,例如惡意程式碼存放庫和線上服務。訓練集包括大約 1.2 GB 資料或大約 50 萬個範例,主要由可攜式執行檔 (PE) 組成。資料集有大約 224 個功能,其中包含有關每個範例的中繼資料和描述性資訊。 VoodooShield 依靠 Model Builder 來協助選擇資料轉換 (如 OneHotEncoding 和 FeaturizeText),以準備用於訓練的資料。
評估與使用
訓練完成後,將根據測試資料集評估由 Model Builder 選擇的幾個排名靠前的模型,以選擇哪一個模型最能與「真實」資料搭配執行。識別出最佳模型後,該模型將整合到其桌面應用程式中,以向使用者提供即時惡意程式碼分析和建議,從而決定要封鎖或允許其電腦上的特定檔案。
準備開始了嗎?
我們的逐步教學課程可協助您讓 ML.NET 在電腦上執行。