Avec cet outil, l'IA pourrait identifier de nouveaux logiciels malveillants aussi facilement qu'elle reconnaît les chats

Conception de caméléon





Des rançongiciels aux botnets, les logiciels malveillants prennent des formes apparemment infinies et prolifèrent sans cesse. Malgré tous nos efforts, les humains qui défendraient nos ordinateurs se noient sous l'assaut, alors ils se tournent vers l'IA pour obtenir de l'aide.

Il y a juste un problème : les outils d'apprentissage automatique ont besoin de beaucoup de données. C'est très bien pour des tâches comme la vision par ordinateur ou le traitement du langage naturel, où de grands ensembles de données open source sont disponibles pour enseigner aux algorithmes à quoi ressemble un chat, dire, ou comment les mots se rapportent les uns aux autres. Dans le monde des logiciels malveillants, une telle chose n'existait pas jusqu'à présent.

Cette semaine, la société de cybersécurité Endgame a publié un vaste ensemble de données open source appelé EMBER (pour Analyse comparative des logiciels malveillants en fin de partie pour la recherche ). EMBER est une collection de plus d'un million de représentations de fichiers exécutables portables Windows bénins et malveillants, un format où les logiciels malveillants se cachent souvent. Une équipe de l'entreprise a également publié un logiciel d'IA qui peut être formé sur l'ensemble de données. L'idée est que si l'IA doit devenir une arme puissante dans la lutte contre les logiciels malveillants, elle doit savoir quoi rechercher.



Les entreprises de sécurité ont une mer de potentiel des données sur lesquelles former leurs algorithmes, mais c'est un bienfait mitigé. Les mauvais acteurs qui fabriquent des logiciels malveillants modifient constamment leur code dans le but de garder une longueur d'avance sur la détection. Par conséquent, une formation sur des échantillons de logiciels malveillants obsolètes pourrait s'avérer un exercice futile.

C'est un jeu de coup de taupe, explique Charles Nicholas, professeur d'informatique à l'Université du Maryland, dans le comté de Baltimore.

EMBER est destiné à aider les programmes de cybersécurité automatisés à suivre le rythme.



Au lieu d'une collection de fichiers réels, qui pourraient infecter l'ordinateur de tout chercheur les utilisant, EMBER contient une sorte d'avatar pour chaque fichier, une représentation numérique qui donne à un algorithme une idée des caractéristiques associées aux fichiers bénins ou malveillants sans l'exposer. à l'article authentique.

Cela devrait aider les membres de la communauté de la cybersécurité à former et à tester rapidement plus d'algorithmes, leur permettant de construire une IA de chasse aux logiciels malveillants meilleure et plus adaptable.

Bien sûr, rendre l'ensemble de données ouvert à quiconque pourrait également s'avérer une responsabilité s'il tombait entre de mauvaises mains. Les créateurs de logiciels malveillants pourraient utiliser les données pour concevoir des systèmes que l'IA de chasse aux virus ne reconnaîtra pas, un problème auquel Hyrum Anderson, directeur technique de la science des données chez Endgame, a déclaré que la société avait réfléchi. Anderson, qui a travaillé sur EMBER, dit qu'il espère que les avantages de cette ouverture l'emportent sur les risques. En outre, la cybercriminalité est si lucrative que les personnes derrière les logiciels malveillants sont déjà bien motivées pour continuer à affiner leurs outils d'attaque.



Le pirate trouvera de toute façon un exemple, explique Gerald Friedland, professeur d'informatique à l'Université de Californie à Berkeley.

cacher