Un antivirus que imita al cerebro podría detectar más malware

El malware informático a menudo puede evadir el software de seguridad antivirus si el autor cambia algunas líneas de código o diseña el programa para que mute automáticamente antes de cada nueva infección.





Las redes neuronales artificiales, entrenadas para reconocer las características del código malicioso al observar millones de ejemplos de archivos de malware y no malware, quizás podrían ofrecer una forma mucho mejor de atrapar ese código malicioso. Varias empresas están probando un enfoque conocido como aprendizaje profundo, que implica entrenar una red con muchas capas de neuronas simuladas utilizando enormes cantidades de datos.

Una startup israelí llamada instinto profundo planea lanzar un servicio de seguridad basado en el enfoque la próxima semana. La compañía afirma que su software es significativamente mejor para detectar versiones modificadas de malware existente que el software antivirus actual. Esas afirmaciones aún no se han verificado de forma independiente, pero otros están explorando el uso del aprendizaje profundo para el software antivirus, y sus resultados publicados sugieren que podría ayudar a cambiar el rumbo en la batalla contra las infecciones de malware.

El aprendizaje profundo implica entrenar una gran red de neuronas y sinapsis simuladas para reconocer patrones abstractos o complejos a partir de datos de ejemplo. Cuando se alimenta con una cantidad suficientemente grande de ejemplos, dicha red identificará correctamente nuevos ejemplos que parecen diferentes en un nivel básico. Un sistema de aprendizaje profundo puede, por ejemplo, ser entrenado para reconocer la cara de una persona en particular usando miles de imágenes, y luego detectar a esa persona en nuevas fotos, incluso aquellas tomadas con poca luz o desde un ángulo extraño.



Eli David, cofundador y director de tecnología de Deep Instinct y profesor de aprendizaje automático en la Universidad Bar-Ilan en Israel, dice que su empresa entrena su red de aprendizaje profundo utilizando miles de parámetros diferentes de diferentes archivos. Este proceso que requiere mucho tiempo y computación intensiva, que se ejecuta en un grupo de GPU, se utiliza para generar una red neuronal estática que luego se distribuye a los usuarios finales, dice David. La red enviada a los usuarios no se puede actualizar, lo que significa que no requiere tanta potencia informática para funcionar; pero puede reconocer y marcar nuevos programas maliciosos.

De acuerdo con la Boletín de virus , una organización independiente que prueba el software de seguridad, el mejor antivirus comercial puede detectar alrededor del 87 % de todas las nuevas amenazas varios meses después de la última actualización del software.

David dice que en las propias pruebas de la empresa, su software pudo detectar un 20 por ciento más de malware nuevo que el software antivirus existente. Esencialmente, puede decir si un archivo es lo suficientemente similar a una pieza de malware existente para que sea sospechoso. El software antivirus existente puede ser engañado si se ha alterado la cadena de código particular que está utilizando para la detección. El aprendizaje profundo es extremadamente resistente al ruido, dice. Esa es la idea aquí también.



Tres investigadores de Microsoft desarrollaron una red similar de aprendizaje profundo para la detección de malware, junto con Jorge Dahl , quien en ese momento era estudiante de uno de los laboratorios de aprendizaje profundo líderes en el mundo en la Universidad de Toronto, y ahora es científico investigador en Google.

A papel publicado por los investigadores describe cómo alimentaron características que incluyen cadenas de archivos y parámetros de interfaz de programación de aplicaciones en varias redes de aprendizaje profundo personalizadas. Después de entrenar la red con 2,6 millones de ejemplos, escriben los investigadores, el sistema pudo detectar nuevas instancias de malware con un rendimiento de última generación.

Otro papel , publicado en línea por dos investigadores de la empresa de seguridad invincea , describe un esfuerzo diferente para construir un sistema de aprendizaje profundo para la detección de malware. La pareja dice que su sistema de aprendizaje profundo pudo detectar nuevo malware con una confiabilidad del 95 por ciento y una tasa de error del 0,01 por ciento.

No sorprende que se esté considerando el aprendizaje profundo para mejorar el software de seguridad. Muchas grandes empresas de tecnología y nuevas empresas ahora están buscando el aprendizaje profundo de manera agresiva. El enfoque ya ha mejorado el rendimiento del software de reconocimiento de escritura a mano y reconocimiento de voz; y se está aplicando cada vez más a tareas mucho más complejas, como la comprensión del lenguaje natural (ver Enseñar a las máquinas a entendernos).

jorge cybenko , profesor de Dartmouth College que estudia el uso del aprendizaje automático en la seguridad informática, dice que la idea de usar redes neuronales para buscar malware se remonta a más de una década. Pero dice que el surgimiento del aprendizaje profundo probablemente hará que las empresas le den una mirada más cercana al enfoque.

Cybenko dice que el rendimiento que se reclama para los sistemas de detección de virus de aprendizaje profundo sería un gran avance, aunque los resultados deberán probarse científicamente. También señala que los creadores de virus son notoriamente persistentes. Si hay un gran avance, van a hacer un poco de investigación y desarrollo y propondrán un nuevo enfoque.

esconder