关注我们
带你读懂网络安全
Project Ire系统通过调用API,整合多种逆向工程工具,从底层二进制分析、控制流重构乃至代码行为等角度不断更新对目标文件的理解,从而实现对测试数据集漏报率约一成、误报率4%的成绩,并即将投入生产环境使用。
前情回顾·AI赋能攻防对抗
安全内参8月7日消息,微软日前宣布推出一款自主AI代理,可在无人工干预的情况下分析并分类软件,旨在推动恶意软件检测能力的发展。
这套由大语言模型(LLM)驱动的自主恶意软件分类系统,目前处于原型阶段,微软内部代号为Project Ire。
Project Ire实现了
恶意软件检测的权威流程
微软表示:“该系统实现了被认为是恶意软件分类‘黄金标准’的流程:在完全没有来源或用途线索的前提下,对一个软件文件进行完整的逆向工程。”它使用反编译器及其他工具来审查分析结果,从而判断该软件是恶意还是良性。
据微软介绍,Project Ire的目标是实现恶意软件的大规模分类,加快威胁响应速度,并减少安全分析师手动检查样本以确定其是否为恶意软件的工作量。
该系统利用专用工具进行软件逆向工程,分析层级涵盖广泛,从底层二进制分析、控制流重构,直至对代码行为的高阶解读。
微软指出:“系统通过调用API,整合多种逆向工程工具,以不断更新对目标文件的理解,这些工具包括基于Project Freta的内存分析沙箱、自定义与开源工具、文档搜索功能以及多个反编译器。”
Project Freta是微软研究院的一项计划,旨在通过分析Linux实时系统的内存快照,执行“发现扫描”,以侦测尚未被识别的恶意软件,例如rootkit和高级威胁程序。
整个评估流程包括多个步骤:
自动化逆向工程工具识别文件类型、结构及潜在风险点;
系统利用angr和Ghidra等框架,重建软件的控制流图;
大语言模型通过API调用专用工具,识别并总结关键函数;
系统调用验证工具,依据可用证据对初步发现进行验证,并据此对样本进行分类;
总结过程记录详尽的“证据链”日志,说明系统得出判断的依据,方便安全团队在误判时进行复审与优化。
Project Ire已实现漏报率约一成,
误报率4%
在Project Ire团队对一组公开可获取的Windows驱动程序数据集进行测试时,该系统成功识别了90%的所有文件,仅有2%的良性文件被误判为威胁。在另一项针对近4000个“高难度目标”文件的评估中,系统准确分类了近九成的恶意文件,误报率仅为4%。
微软表示:“基于这些初步成果,Project Ire原型将被整合进微软Defender内部的Binary Analyzer工具,用于威胁检测与软件分类。”
“我们的目标是进一步提升系统的处理速度和识别准确率,使其在首次接触任意来源的文件时,也能做出正确判断。最终愿景是实现对新型恶意软件的内存级大规模直接检测。”
微软指出,这类自动化技术未来有望在应对日益复杂的网络攻击时,更有效地保护全球数十亿台设备。
这也是新一波AI系统浪潮中的一部分,这些系统正在尝试以全新方式应对网络安全威胁。例如,谷歌的“Big Sleep” AI也是一款自主运行系统,其主要聚焦于发现代码中的安全漏洞。
微软表示,Project Ire是由微软研究院、微软Defender以及Microsoft Discovery & Quantum等多个团队联合开发的。目前,该系统已开始用于公司内部,以协助提升微软安全工具的威胁检测效率。
参考资料:thehackernews.com
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...