VoodooShield 使用 ML.NET 偵測惡意程式碼

VoodooShield 結合使用動態安全性狀態、反惡意程式碼關聯式引擎、進階檔案信譽服務 (WhitelistCloud) 和啟用機器學習的靜態功能分析，可以在電腦面臨風險時自動鎖定電腦。

商務問題

組織無法再只依賴傳統的預設允許網路安全產品，而且必須向零信任安全性態勢發展。套用到系統或端點的保護程度在很大程度上取決於威脅層級。大多數情況下，在高威脅層級下持續運作不方便且成本高。儘管高級別保護有助於將入侵的風險降至最低，但會增加現有工作流程的干擾和中斷。相反地，在低威脅層級運作會增加入侵的可能性。因此，必須擁有以威脅層級內容為基礎的動態安全性態勢，這不僅可以阻止威脅，而且可以自動允許需要允許的內容。轉換成零信任並非易事，但 VoodooShield 簡化了此過程。利用包括機器學習在內的各種技術，VoodooShield 可即時偵測惡意程式碼，並為使用者提供檔案深入解析，讓他們能夠針對允許或封鎖檔案做出明智的決策。

為什麼要使用 ML.NET?

VoodooShield has been using machine learning solutions since 2015. While their previous solution worked extremely well for them over the years, they were recently notified that it was going to be retired soon. They researched various new machine learning platforms and found that ML.NET was a perfect fit for VoodooShield. As part of their research, they noticed that machine learning algorithms have progressed significantly in the past seven years. The result of that has been unprecedented levels of malware detection efficacy along with a significant reduction of false positives.

ML.NET 已經完美且順暢地整合到我們的解決方案中。」

ML.NET 的影響

Since using ML.NET, VoodooShield's malware detection and false positive rate have improved dramatically. Because all machine learning analysis is now performed on the local computer instead of the cloud, VoodooShield is able to provide file insights much quicker than before. Using ML.NET tools like Model Builder made it easy to validate whether ML.NET could solve their problem. As a result, they were able to go from experimentation to production in a matter of weeks.

解決方案架構

資料

用於訓練模型的資料來自多種來源，例如惡意程式碼存放庫和線上服務。訓練集包括大約 1.2 GB 資料或大約 50 萬個範例，主要由可攜式執行檔 (PE) 組成。資料集有大約 224 個功能，其中包含有關每個範例的中繼資料和描述性資訊。 VoodooShield 依靠 Model Builder 來協助選擇資料轉換 (如 OneHotEncoding 和 FeaturizeText)，以準備用於訓練的資料。

評估與使用

訓練完成後，將根據測試資料集評估由 Model Builder 選擇的幾個排名靠前的模型，以選擇哪一個模型最能與「真實」資料搭配執行。識別出最佳模型後，該模型將整合到其桌面應用程式中，以向使用者提供即時惡意程式碼分析和建議，從而決定要封鎖或允許其電腦上的特定檔案。