微軟、英特爾新AI技術以影像辨識找出惡意程式

微軟及英特爾周一發表新的AI應用，標榜能以影像辨識技術找出惡意程式。

這項技術是由英特爾實驗室及微軟威脅防護情報小組共同研發而成，名為惡意軟體圖形靜態網路分析（STAtic Malware-as-Image Network Analysis，STAMINA），它是以英特爾既有以深度遷移學習（deep transfer learning）的靜態惡意程式分類法為基礎，再結合微軟提供的真實惡意程式樣本進行訓練，目的在強化惡意程式的辨識速度。

深度遷移學習源為一種電腦視覺技術，簡單而言，英特爾發展的惡意程式分類法，是將應用程式二進位檔轉換成灰階圖片後，加以掃瞄辨識。和傳統病毒的靜態特徵分析一樣，原理是同一家族惡意程式，在文字及結構上彼此有相似性。不同家族的惡意程式，以及無害及惡意程式之間則異大於同。

STAMINA包含4大流程：預處理（圖形轉換）、遷移學習、評估及詮釋。預處理主要是將二進位檔的1D像素流（pixel stream）轉成2D的相片，根據一定方法，依檔案大小來決定2D像素流相片的寬度及相應高度。接著將不同像素流相片組合成適合AI處理的大小，餵給一個預先預練過的深度神經網路（deep neural network, DNN），由其分類是良性或惡意程式。

研究人員總共對STAMINA系統模型，餵入220萬的惡意程式二進位檔雜湊，及20萬筆良性程式的二進位檔雜湊。測試結果，該系統模型的分類準確度達99.07%，而誤判（false positive）率為2.58%。

研究人員指出，STAMINA和傳統二進位檔特徵或指紋分析相較，不易被程式碼混淆（code obfuscation）手法影響，也比動態分析省時。雖然它仍然有限制，例如用在分析小型檔案比較有效，大型檔案則因無法將數十億像素轉換JPEG檔，而無法發揮效果，此時比較適合meta data的分析法。但研究人員仍認為，STAMINA仍顯示以深度遷移學習為基礎的惡意程式分類的潛力。