VoodooShield 使用 ML.NET 偵測惡意程式碼

VoodooShield 結合使用動態安全性狀態、反惡意程式碼關聯式引擎、進階檔案信譽服務 (WhitelistCloud) 和啟用機器學習的靜態功能分析，可以在電腦面臨風險時自動鎖定電腦。

商務問題

組織無法再只依賴傳統的預設允許網路安全產品，而且必須向零信任安全性態勢發展。套用到系統或端點的保護程度在很大程度上取決於威脅層級。大多數情況下，在高威脅層級下持續運作不方便且成本高。儘管高級別保護有助於將入侵的風險降至最低，但會增加現有工作流程的干擾和中斷。相反地，在低威脅層級運作會增加入侵的可能性。因此，必須擁有以威脅層級內容為基礎的動態安全性態勢，這不僅可以阻止威脅，而且可以自動允許需要允許的內容。轉換成零信任並非易事，但 VoodooShield 簡化了此過程。利用包括機器學習在內的各種技術，VoodooShield 可即時偵測惡意程式碼，並為使用者提供檔案深入解析，讓他們能夠針對允許或封鎖檔案做出明智的決策。

為什麼要使用 ML.NET?

VoodooShield 自 2015 年起一直使用機器學習解決方案。雖然他們之前的解決方案在過去這些年運作非常良好，但他們最近收到通知方案即將淘汰。他們研究了各種新的機器學習平台，並發現 ML.NET 非常適合 VoodooShield。作為研究的一部分，他們注意到機器學習演算法在過去七年中有顯著的進展。其結果是惡意程式碼偵測出現前所未有的程度，同時誤判也大幅降低。

ML.NET 已經完美且順暢地整合到我們的解決方案中。」

ML.NET 的影響

自使用 ML.NET 以來，VoodooShield 的惡意程式碼偵測和誤判為真率已大幅改善。由於現在已在本機電腦上執行所有機器學習分析，而非在雲端上執行，因此 VoodooShield 能夠比之前更快速地提供檔案深入解析。使用Model Builder等 ML.NET 工具可讓您輕鬆驗證 ML.NET 是否能解決其問題。因此，他們可以在數星期內從實驗進入生產環境。

解決方案架構

資料

用於訓練模型的資料來自多種來源，例如惡意程式碼存放庫和線上服務。訓練集包括大約 1.2 GB 資料或大約 50 萬個範例，主要由可攜式執行檔 (PE) 組成。資料集有大約 224 個功能，其中包含有關每個範例的中繼資料和描述性資訊。 VoodooShield 依靠 Model Builder 來協助選擇資料轉換 (如 OneHotEncoding 和 FeaturizeText)，以準備用於訓練的資料。

評估與使用

訓練完成後，將根據測試資料集評估由 Model Builder 選擇的幾個排名靠前的模型，以選擇哪一個模型最能與「真實」資料搭配執行。識別出最佳模型後，該模型將整合到其桌面應用程式中，以向使用者提供即時惡意程式碼分析和建議，從而決定要封鎖或允許其電腦上的特定檔案。