Безопасность

Нейросеть ByteDog ускоряет первичный анализ файлов в песочнице PT Sandbox

В состав песочницы PT Sandbox, являющейся частью системы многоуровневой защиты почты PT Email Security, была внедрена нейросеть ByteDog (доступна в бета-версии, активация функции производится через техническую поддержку разработчика). На этапе первичного статического анализа она осуществляет проверку файлов на наличие вредоносного программного обеспечения (ВПО) непосредственно на уровне байтов. Об этом CNews рассказали представители компании Positive Technologies.

Данный метод позволяет выявлять на 10% больше угроз при статическом анализе и на 2% больше — при поведенческом. По мере увеличения вычислительной мощности модели эффективность обнаружения может возрасти в три-пять раз. Нейросеть помогает песочнице обнаруживать ранее неизвестные угрозы совместно с остальными механизмами детектирования. При этом новый движок не требует значительных аппаратных ресурсов по сравнению с традиционными решениями.

Ранее алгоритмы машинного обучения (ML) в PT Sandbox применялись исключительно при поведенческом анализе: песочница запускала подозрительные объекты в изолированной виртуальной среде, файлы генерировали сетевой трафик, который затем проверялся модулем ML. Теперь технология машинного обучения используется и в статическом анализе: ByteDog может функционировать параллельно с классическим движком и антивирусами, усиливая начальные проверки и повышая эффективность выявления неизвестных угроз без необходимости запуска самого файла. Уже на этапе внутреннего тестирования модель обнаружила аномалии, которые не были выявлены другими движками. Таким образом, PT Sandbox обеспечивает всестороннюю защиту от вредоносного ПО, сочетая как классические подходы, так и новейшие технологии.

Модель ByteDog не требует ручной настройки данных для новых типов ВПО. Она анализирует байты файла, интерпретируя его как текст, и самостоятельно обучается находить необычные признаки, анализировать их и выявлять новые угрозы, после чего выносит вердикт: опасен файл или нет. Таким образом, нейросеть расширяет возможности обнаружения угроз. Классические инструменты статического анализа, напротив, проверяют файлы на основе заданных в правилах характеристик.

«PT Sandbox — наш первый продукт, в котором задействована нейросеть ByteDog. Благодаря ей мы трансформируем традиционный подход песочницы к поиску угроз в статике, смещая акцент с проверки только по правилам и расширяя охват до выявления аномалий и неизвестных угроз. Интеграция ML-движка на этом этапе анализа, безусловно, обладает потенциалом, который будет раскрыт в будущем и будет способствовать развитию текущих методик обнаружения», — отметил Дмитрий Сучков, директор по разработке продуктов Positive Technologies.

Новый движок анализирует исполняемые файлы операционных систем Linux и Windows. Постепенно модель будет обучена для работы и с другими типами объектов. Непрерывное обучение нейросети позволит песочнице расширять свою экспертизу и предложить российскому бизнесу новые инструменты защиты от неизвестных угроз.

Поделиться:

0 Комментариев

Оставить комментарий

Обязательные поля помечены *
Ваш комментарий *
Категории
Популярные новости