Компания Positive Technologies интегрировала в изолированную среду PT Sandbox нейросетевой движок ByteDog, который в бета-режиме проверяет файлы на наличие вредоносного ПО на этапе статического анализа. Функциональность активируется по запросу через техническую поддержку вендора в рамках системы многоуровневой защиты электронной почты PT Email Security. В отличие от правил, по которым работают классические инструменты, модель анализирует содержимое напрямую на уровне байтов, читая файл как текст, и самостоятельно выявляет аномалии, не требуя ручной подготовки данных под новые разновидности угроз.

По данным разработчика, такой подход позволил повысить эффективность обнаружения: в статическом анализе число выявляемых угроз выросло на 10%, а в поведенческом — на 2%. Ожидается, что с ростом вычислительной мощности, задействованной для работы модели, показатели могут улучшиться в три-пять раз. При этом новый движок не требует существенного увеличения аппаратных ресурсов по сравнению с традиционными средствами защиты.

ByteDog впервые применяет технологии машинного обучения не только при проверке сетевого трафика, генерируемого запущенными в виртуальной среде объектами, но и на этапе первичного статического анализа. Нейросеть работает параллельно с классическим движком и антивирусами, усиливая проверку до запуска подозрительного файла. Уже на этапе внутреннего тестирования модель обнаружила аномалии, пропущенные остальными механизмами песочницы, что позволило расширить покрытие угроз, ранее остававшихся незаметными.

«PT Sandbox — наш первый продукт, в котором используется нейросеть ByteDog. Благодаря ей мы меняем традиционный подход песочницы к поиску угроз в статике, смещая фокус с тестирования только правилами и расширяя покрытие до выявления аномалий и неизвестных угроз. Интеграция ML-движка на этом этапе анализа однозначно имеет потенциал, который будет реализовываться в будущем и развивать текущие методики обнаружения», — прокомментировал Дмитрий Сучков, директор по разработке продуктов Positive Technologies.

В текущей версии ByteDog анализирует исполняемые файлы операционных систем Linux и Windows. По мере непрерывного обучения модели планируется добавить поддержку и других типов объектов, что позволит масштабировать экспертизу изолированной среды и предложить российским организациям новые инструменты защиты от ранее неизвестных угроз.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *