В Positive Technologies создали своего «Терминатора» для вирусов. Знакомьтесь, ByteDog
NewsMakerКомпания разработала нейросеть для обнаружения вредоносного кода.
Positive Technologies представила модель ByteDog для поиска вредоносного кода. Разработчики утверждают, что система анализирует файлы напрямую в виде байтов и в тестах на данных реальных киберинцидентов показала результат более чем на 20% лучше классических ML-моделей по качеству детектирования и скорости анализа.
ByteDog построили на архитектуре трансформера, которую обычно используют большие языковые модели. В отличие от привычных систем, модель работает не с текстом или изображениями, а с файлами в исходном виде. Такой подход, по замыслу разработчиков, снимает необходимость вручную готовить признаки под каждый новый тип вредоносного ПО.
Раньше для обучения подобных систем специалистам приходилось заранее извлекать из файлов отдельные признаки, например опкоды, подстроки или структуру импортов. После такой подготовки модель училась отличать вредоносный код от обычного. ByteDog, по словам компании, убирает промежуточный этап и после обучения сама ищет закономерности в байтовом представлении файла. За счет такого подхода система может находить угрозы, которых раньше не было в обучающих данных.
Принцип работы ByteDog в компании сравнивают с тем, как большие языковые модели учатся понимать текст без заранее заданных грамматических правил. Разница в том, что вместо слов и предложений новая система получает обычные файлы. Обучение и тестирование ByteDog, как утверждает Positive Technologies, шло в течение года на образцах из реальных киберинцидентов.
Positive Technologies представила модель ByteDog для поиска вредоносного кода. Разработчики утверждают, что система анализирует файлы напрямую в виде байтов и в тестах на данных реальных киберинцидентов показала результат более чем на 20% лучше классических ML-моделей по качеству детектирования и скорости анализа.
ByteDog построили на архитектуре трансформера, которую обычно используют большие языковые модели. В отличие от привычных систем, модель работает не с текстом или изображениями, а с файлами в исходном виде. Такой подход, по замыслу разработчиков, снимает необходимость вручную готовить признаки под каждый новый тип вредоносного ПО.
Раньше для обучения подобных систем специалистам приходилось заранее извлекать из файлов отдельные признаки, например опкоды, подстроки или структуру импортов. После такой подготовки модель училась отличать вредоносный код от обычного. ByteDog, по словам компании, убирает промежуточный этап и после обучения сама ищет закономерности в байтовом представлении файла. За счет такого подхода система может находить угрозы, которых раньше не было в обучающих данных.
Принцип работы ByteDog в компании сравнивают с тем, как большие языковые модели учатся понимать текст без заранее заданных грамматических правил. Разница в том, что вместо слов и предложений новая система получает обычные файлы. Обучение и тестирование ByteDog, как утверждает Positive Technologies, шло в течение года на образцах из реальных киберинцидентов.