Обнаружение вымогательского ПО достигает точности 99,96% с новой моделью ИИ

Ученые разработали систему искусственного интеллекта, которая обнаруживает вымогательское ПО с точностью 99,96%, преобразуя вредоносное поведение в изображения для усиления кибербезопасности.

Этот новый инструмент ИИ, подробно описанный в Scientific Reports, использует метод «поведение-в-изображение», который преобразует действия программного обеспечения в изображения, которые ИИ способен анализировать.

Исследователи объясняют, как атаки с использованием вымогательского ПО становятся все более частыми и дорогостоящими, средний размер выкупа взлетел до 2,73 миллиона долларов.

Новая система работает, сначала запуская программное обеспечение в изолированной песочнице, что позволяет безопасно отслеживать его поведение. Система обнаруживает специфическое поведение шифрования файлов, которое является характерной операцией вымогательского ПО. Затем эти действия преобразуются в двухмерное изображение в оттенках серого или цветное изображение.

Этот формат, основанный на изображениях, позволяет исследователям использовать такую технику, как «обучение с переносом» с предварительно обученными моделями ИИ. Исследователи объясняют, что этот шаг критически важен, поскольку он позволяет преодолеть основное препятствие в области кибербезопасности, связанное с недостатком больших, актуальных наборов данных об образцах вымогательского ПО для обучения.

«Ограниченные данные увеличивают риск переобучения, снижают возможность идентификации разнообразного поведения и подрывают надежность в обнаружении новых угроз», — объясняют авторы.

Перенос обучения позволяет ИИ применять знания, полученные при анализе миллионов общих изображений, к конкретной задаче поиска вымогательского ПО, и при этом не требуется огромный набор образцов вредоносного ПО.

Исследовательская группа обнаружила, что модель под названием «ResNet50» была исключительно эффективна в анализе этих поведенческих изображений.

Заметно, что модель достигла точности 99,96%, что делает ее весьма эффективной в обнаружении вымогательского ПО, несмотря на работу с небольшим набором данных.

Чтобы убедиться, что решения ИИ надежны и не основываются на случайном шуме, команда использовала передовые инструменты визуализации. Они создали карты значимости, которые подтвердили, что «модель фокусируется на структурированных областях, кодирующих поведение, и подтверждает обучение специфическим для класса образцам.»

Эта комбинация почти идеальной точности, способности работать с небольшими наборами данных и прозрачного процесса принятия решений подчеркивает потенциал модели для практического использования.