В песочницу PT Sandbox, которая входит в состав системы многоуровневой защиты почты PT Email Security, интегрирована нейросеть ByteDog1. На этапе первичного анализа статическим методом она проверяет файлы на наличие ВПО напрямую на уровне байтов. Такой подход позволяет обнаруживать на 10% больше угроз в режиме статического анализа и на 2% больше в режиме поведенческого анализа. С увеличением мощности работы модели эффективность обнаружения должна вырасти в 3–5 раз. Нейросеть помогает песочнице выявлять ранее неизвестные угрозы вместе со всеми остальными механизмами обнаружения. При этом новый движок не требует больших аппаратных ресурсов по сравнению с привычными инструментами.
Ранее ML-алгоритмы в PT Sandbox применялись только при поведенческом анализе: песочница запускает подозрительные объекты в изолированной виртуальной среде, файлы генерируют сетевой трафик, а модуль машинного обучения проверяет его. Теперь ML-технология используется и в статическом анализе: ByteDog может работать параллельно с классическим движком и антивирусами, усиливая первоначальные проверки и повышая эффективность обнаружения неизвестных угроз без запуска самого файла. Уже на этапе внутреннего тестирования модель выявила аномалии, которые не обнаруживались другими движками. Таким образом, PT Sandbox обеспечивает комплексную защиту от вредоносного ПО, задействуя как классические методы, так и новейшие технологии.
Модель ByteDog не требует ручной подготовки данных под новые виды ВПО. Она анализирует байты файла, читая его как текст, и самостоятельно учится находить необычные признаки, анализировать их и выявлять новые угрозы, после чего выдает вердикт: опасен файл или нет. Таким образом нейросеть расширяет возможности обнаружения угроз. Классические инструменты статического анализа, напротив, проверяют файлы по установленным в правилах признакам.
PT Sandbox — наш первый продукт, в котором используется нейросеть ByteDog. Благодаря ей мы меняем традиционный подход песочницы к поиску угроз в статике, смещая фокус с тестирования только правилами и расширяя покрытие до выявления аномалий и неизвестных угроз. Интеграция ML-движка на этом этапе анализа однозначно имеет потенциал, который будет реализовываться в будущем и развивать текущие методики обнаружения.
Дмитрий Сучков, директор по разработке продуктов, Positive Technologies
Новый движок анализирует исполняемые файлы операционных систем Linux и Windows. Постепенно модель будет обучена для работы и с другими типами объектов. Непрерывная тренировка нейросети позволит песочнице масштабировать свою экспертизу и предложить российскому бизнесу новые инструменты защиты от неизвестных угроз.
1 Представлена в бета-режиме, функциональность включается через техподдержку вендора.
ссылка на оригинал статьи https://habr.com/ru/articles/1054712/