Anti-virus met neuraal netwerk moet meer malware vangen
Een kleine aanpassing aan malware kan ervoor zorgen dat virusscanners de dreiging niet meer detecteren, maar een Israelisch bedrijf zegt de oplossing te hebben gevonden: kunstmatige neurale netwerken. De neurale netwerken analyseren de eigenschappen van miljoenen malware-exemplaren en schone bestanden en worden zo geleerd om de eigenschappen van malware te herkennen.
De aanpak moet ervoor zorgen dat de virusscanner van het bedrijf beter in staat is om aangepaste malware-versies te detecteren, die door traditionele anti-virussoftware wordt gemist. Deep learning, zoals de aanpak wordt genoemd, bestaat uit het trainen van een groot netwerk dat uit gesimuleerde neuronen en synapsen bestaat om zo complexe patronen uit de aangeleverde data te halen. De bedoeling is dat het netwerk uiteindelijk uit zichzelf geheel nieuwe exemplaren kan herkennen.
Het Israëlische Deep Instinct zegt het eigen neurale netwerk te trainen met een groot aantal bestanden en instellingen. Een tijds- en computerintensief proces, dat op een cluster van GPU's draait. Volgens oprichter en CTO Eli David kan de eigen oplossing 20% meer malware detecteren dan bestaande oplossingen. Zo kan het zeggen of een bestand voldoende op bestaande malware lijkt waardoor het verdacht is, zo meldt MIT Technology Review.
Een kleine aanpassing of bepaalde string in de code is daardoor niet meer genoeg om de virusscanner te misleiden. Volgens professor George Cybenko van het Britse Darthmouth College is het idee van neurale netwerken om malware te vinden niet nieuw, maar zorgt het verschijnen van deep learning mogelijk voor vernieuwde interesse. Hij stelt dat de beloofde resultaten eerst nog moeten worden getest. Daarnaast zijn malwaremakers erg hardnekkig. "Als er een doorbraak is zullen ze onderzoek doen en met een nieuwe aanpak komen", zo waarschuwt hij.
Nu maar afwachten of het resulterend product ook door consumenten te bekostigen is.
Nog onbekende malware en bepaalde vulnerabilities waar je niet op kan inhaken blijven nieuwe dreigingen die je niet gaat oplossen.
Ik geloof meer in Whitelisting ipv blacklisting met daarbij Ids systemen.
Voor code met encoding, encryptie of anderssoortige obfuscatie (bv. polymorf) werkt het misschien niet. Het kan wel zijn dat de methode op zich detecteerbaar is, maar ook daar steekt het fp monster de kop op, je moet dan wel zeker weten dat die methode alleen door malwareschrijvers wordt gebruikt. Met standaard packers weet je dat het niet zo is. Unpacking zorgt voor een andere "look" van de bestanden. Ze lijken vaak niet meer zo goed op het origineel.
De methode staat of valt met onophoudelijk voldoende input van bestanden die geen malware zijn. Helaas zit het daar niet zo goed blijkt uit een gepubliceerde paper. Men gebruikte Virustotal om te bepalen of iets malware was. Dat is helemaal niet accuraat en in Virustotal zul je geen representatieve verzameling onschadelijke bestanden aantreffen.
Een ander probleem met deze methode is dat het leunt op detectie door software van concurenten. Hoe ethisch is dat?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
