Новости В PT Sandbox появился ИИ-фильтр: ByteDog проверяет файлы на входе

NewsMaker

I'm just a script
Премиум
28,045
46
8 Ноя 2022
Как Positive Technologies выстроила многоуровневую защиту от вредоносного ПО?


rr9aqbxxo9k0ajwd58u7j3xjmpi8x90j.jpg

PT Sandbox получила нейросеть ByteDog, которая проверяет подозрительные файлы без запуска и анализирует содержимое прямо на уровне байтов. По данным Positive Technologies , новый ML-движок позволил находить на десять процентов больше угроз при статической проверке и на два процента больше при поведенческом анализе.

ByteDog встроили в песочницу PT Sandbox, которая входит в почтовый защитный продукт PT Email Security. При статическом анализе модель изучает исполняемый файл как последовательность байтов и выдает вердикт, опасен объект или нет. Песочница может использовать ML-движок параллельно с классическим анализатором и антивирусами, поэтому подозрительный файл получает дополнительную проверку до запуска в изолированной среде.

Раньше машинное обучение в PT Sandbox применялось только при поведенческом анализе. Песочница запускала подозрительные объекты в виртуальной среде, файлы генерировали сетевой трафик, а ML-модуль проверял полученные данные. После интеграции ByteDog часть проверки перенесли в статический анализ, где файл можно изучить без выполнения кода.

В Positive Technologies заявляют, что ByteDog не требует ручной подготовки правил под новые разновидности вредоносного ПО. Модель анализирует байтовое представление файла, ищет аномальные признаки и помогает выявлять неизвестные угрозы. Классические инструменты статического анализа работают иначе: проверяют файлы по заранее заданным правилам и признакам.

Во время внутреннего тестирования ByteDog обнаружила аномалии, которые пропускали другие движки, сообщили в компании. Разработчики считают, что дальнейшее увеличение мощности модели может повысить эффективность обнаружения в три-пять раз. По данным Positive Technologies, новый механизм не требует заметно больших аппаратных ресурсов по сравнению с привычными инструментами анализа.

Директор по разработке продуктов Positive Technologies Дмитрий Сучков сообщил, что PT Sandbox стала первым продуктом компании с нейросетью ByteDog. По словам Сучкова, интеграция ML-движка расширяет статическую проверку за пределы правил и помогает искать аномалии в файлах до запуска в песочнице.

Сейчас ByteDog анализирует исполняемые файлы Windows и Linux. Позднее модель планируют обучить работе с другими типами объектов. Нейросеть представлена в бета-режиме, а включение функциональности проходит через техподдержку вендора.
 
Источник новости
www.securitylab.ru

Похожие темы