Project Ire, agentul Microsoft care detectează și clasifică malware

Microsoft a prezentat un nou agent de securtitate bazat pe inteligență artificială (IA) care poate analiza și clasifica autonom programele malware. Numit Project Ire, sistemul de IA este disponibil în prezent ca prototip, deși compania i-a testat capacitățile în medii controlate și în scenarii din lumea reală.

Acesta poate descifra complet software-ul fără intervenție umană și poate efectua analize la mai multe niveluri pentru a evalua dacă software-ul este benign sau malware. Se spune că agentul IA a demonstrat un nivel ridicat de precizie într-un spațiu de securitate cibernetică în care IA, în general, nu funcționează independent.

Agentul Microsoft va ajunge, în cele din urmă, la Microsoft Defender

Microsoft a detaliat Project Ire pe blog unde a explicat capacitățile sale. Sistemul de a fost construit ca urmare a colaborării dintre diviziile Microsoft Research, Defender Research și Microsoft Discovery & Quantum. Compania spune că agentul este alimentat de mai multe „modele lingvistice avansate” și o suită de instrumente concepute pentru analiza binară a software-ului.

Microsoft spune că platforma sa Defender analizează peste un miliard de dispozitive active lunar, ceea ce poate fi o provocare pentru analiștii umani. Însă, până în prezent, compania nu a optat pentru utilizarea IA în acest domeniu, deoarece software-ul pentru detectarea programelor malware este complex.

Spre deosebire de alte domenii ale securității cibernetice, clasificare software-ului drept malware (înainte ca acesta să fie implementat și să execute o acțiune rău intenționată) necesită luarea unei decizii. Software-ul vine adesea cu protecții de inginerie inversă, care nu permit analiștilor să facă o evaluare definitivă cu privire la faptul dacă software-ul este benign sau rău intenționat.

Desigur, există soluții alternative, dar acestea necesită investigarea incrementală a fiecărui eșantion, construirea de dovezi cu fiecare analiză și validarea constatărilor pe baza bazelor de date existente ale comportamentelor software-ului.

Conform Microsoft, Project Ire depășește aceste complexități prin utilizarea de instrumente specializate care permit agentului IA să realizeze inginerie inversă a software-ului în mod autonom la diferite niveluri. Acestea includ analiza binară la nivel scăzut, reconstrucția fluxului de control și interpretarea comportamentului codului la nivel înalt.

În timpul funcționării, sistemul prototip identifică mai întâi tipul de fișier, structura și potențialele domenii de interes. După aceea, reconstruiește graficul fluxului de control al software-ului folosind diferite framework-uri. Apoi, efectuează iterativ analiza funcțiilor pentru a identifica și rezuma funcțiile cheie.

Project Ire creează rapoarte detaliate

Cu fiecare iterație, Project Ire creează și un raport detaliat, care evidențiază dovezile găsite. Acest jurnal de dovezi poate fi, de asemenea, revizuit de analiști umani și acționează ca o linie finală de apărare în caz de clasificare greșită.

Agentul de inteligență artificială a fost, de asemenea, echipat cu un instrument de validare care poate verifica dovezile din raport cu declarațiile experților care lucrează în echipa Project Ire. Pe baza testelor preliminare, Microsoft susține că Project Ire a reușit să identifice corect 90% din toate fișierele și a marcat doar două procente din software-ul benign ca malware, atingând o precizie de 0,98 și un recall de 0,83.

Interesant este că agentul de inteligență artificială a fost testat și în scenarii din lumea reală. Microsoft i-a cerut să revizuiască aproape 4.000 de fișiere neclasificate. Se pretindea că aceste fișiere au fost create după data limită de antrenament a agentului; prin urmare, nu ar fi putut afla despre ele de la data antrenamentului.

Funcționând complet autonom, Project Ire a obținut un scor de precizie de 0,89, identificând corect nouă din 10 fișiere, conform Microsoft. Rata fals pozitivă a fost declarată de patru procente.

„Pe baza acestor succese timpurii, prototipul Project Ire va fi utilizat în cadrul organizației Defender a Microsoft ca Analizator Binar pentru detectarea amenințărilor și clasificarea software-ului”, a mai spus compania.