VoodooShield 使用 ML.NET 偵測惡意程式碼

VoodooShield 結合使用動態安全性狀態、反惡意程式碼關聯式引擎、進階檔案信譽服務 (WhitelistCloud) 和啟用機器學習的靜態功能分析，可以在電腦面臨風險時自動鎖定電腦。

商務問題

組織無法再只依賴傳統的預設允許網路安全產品，而且必須向零信任安全性態勢發展。套用到系統或端點的保護程度在很大程度上取決於威脅層級。大多數情況下，在高威脅層級下持續運作不方便且成本高。儘管高級別保護有助於將入侵的風險降至最低，但會增加現有工作流程的干擾和中斷。相反地，在低威脅層級運作會增加入侵的可能性。因此，必須擁有以威脅層級內容為基礎的動態安全性態勢，這不僅可以阻止威脅，而且可以自動允許需要允許的內容。轉換成零信任並非易事，但 VoodooShield 簡化了此過程。利用包括機器學習在內的各種技術，VoodooShield 可即時偵測惡意程式碼，並為使用者提供檔案深入解析，讓他們能夠針對允許或封鎖檔案做出明智的決策。

為什麼要使用 ML.NET?

VovocoShield 自 2015 起一直使用機器學習解決方案。雖然他們之前的解決方案在過去這些年運作非常良好，但他們最近收到即將淘汰的通知。他們研究各種新的機器學習平台，並發現 ML.NET 最適合 VovocoShield。作為研究一部分，他們注意到機器學習演算法在過去七年已大幅進展。其結果已達前所未有的惡意程式碼偵測等級，以及誤判的顯著減少。

ML.NET 已經完美且順暢地整合到我們的解決方案中。」

ML.NET 的影響

自使用 ML.NET 以來，VovocoShield 的惡意程式碼偵測和誤判率已大幅改善。由於所有機器學習分析現在都是在本機電腦上執行，而不是雲端，因此 Vo muchoShield 能夠比之前更快速地提供檔案深入見解。使用 ML.NET 工具如 Model Builder 等工具，可輕鬆驗證 ML.NET 是否能解決問題。因此，他們可以在幾週內從實驗階段進入生產階段。

解決方案架構

資料

用於訓練模型的資料來自多種來源，例如惡意程式碼存放庫和線上服務。訓練集包括大約 1.2 GB 資料或大約 50 萬個範例，主要由可攜式執行檔 (PE) 組成。資料集有大約 224 個功能，其中包含有關每個範例的中繼資料和描述性資訊。 VoodooShield 依靠 Model Builder 來協助選擇資料轉換 (如 OneHotEncoding 和 FeaturizeText)，以準備用於訓練的資料。

評估與使用

訓練完成後，將根據測試資料集評估由 Model Builder 選擇的幾個排名靠前的模型，以選擇哪一個模型最能與「真實」資料搭配執行。識別出最佳模型後，該模型將整合到其桌面應用程式中，以向使用者提供即時惡意程式碼分析和建議，從而決定要封鎖或允許其電腦上的特定檔案。