微軟威脅防護情報團隊的成員已加入英特爾實驗室的代表，利用惡意軟件樣本創(chuàng)建圖像，這些圖像可用于檢測惡意代碼。

研究人員使用一種稱為靜態(tài)惡意軟件當圖像網(wǎng)絡分析（STAMINA）的方法，將惡意軟件樣本輸入程序，該程序將數(shù)據(jù)轉換為灰度圖像。然后，他們分析樣本的結構模式，這些模式可用于區(qū)分良性代碼和惡意代碼，然后將惡意嫌疑人劃分為威脅程度。

該研究依賴于英特爾在深度移植學習中對靜態(tài)惡意軟件分類的早期工作。深度學習是人工智能的組成部分，它依賴于機器學習（即自行學習的智能計算機網(wǎng)絡）。

靜態(tài)分析允許惡意軟件檢測，而不必執(zhí)行代碼或監(jiān)視運行時行為。

研究人員說，利用微軟通過Defender安全系統(tǒng)收集的海量惡意軟件代碼數(shù)據(jù)集，他們在檢測惡意軟件和“低誤報率”方面取得了“高度準確性”。

微軟在5月8日發(fā)布在其安全博客上有關STAMINA的微軟報告顯示，通過靜態(tài)分析，可以在觸發(fā)大多數(shù)威脅之前將其檢測到。

報告說：“雖然靜態(tài)分析通常與傳統(tǒng)的檢測方法相關聯(lián)，但它仍然是AI驅動的惡意軟件檢測的重要組成部分。它對預執(zhí)行檢測引擎特別有用：靜態(tài)分析可在不進行分析的情況下反匯編代碼必須運行應用程序或監(jiān)視運行時行為。”

該研究包括三個步驟：圖像轉換，轉移學習和評估。在包括像素轉換和調整大小的過程中，從220萬個受感染文件中提取的惡意軟件代碼被轉換為二維圖像。下一步使用轉移學習將在一項任務中獲得的有關檢測到的惡意軟件的知識應用于類似結構的未識別代碼。最后一步是評估。

該報告指出，STAMINA程序對惡意軟件樣本進行識別和分類的準確性超過了99%，誤報率為2.6%。

在英特爾發(fā)布的白皮書中，研究人員解釋說：“隨著惡意軟件變種的不斷增長，傳統(tǒng)的簽名匹配技術無法跟上。我們尋求應用深度學習技術來避免昂貴的功能設計，而使用機器學習技術來進行學習和使用。建立可以有效識別惡意軟件程序二進制文件的分類系統(tǒng)?！?/p>

目前，該程序在較小的文件大小下效果最佳。

報告說：“對于更大尺寸的應用，STAMINA由于將數(shù)十億像素轉換為JPEG圖像然后調整大小的限制而變得效率較低?！?/p>

Microsoft Defender最初是Windows XP最初提供的一個反間諜軟件程序，后來作為Windows 10附帶的Windows安全包的一部分，已擴展為完整的反病毒和反惡意軟件系統(tǒng)。在2018年的一項研究中，領先的間諜軟件研究實驗室AV-TEST發(fā)現(xiàn)Defender達到了100%的惡意URL樣本檢測率和三個誤報。