{"id":15202,"date":"2019-04-29T01:51:28","date_gmt":"2019-04-29T09:51:28","guid":{"rendered":"https:\/\/www.palada.net\/index.php\/2019\/04\/29\/news-8951\/"},"modified":"2019-04-29T01:51:28","modified_gmt":"2019-04-29T09:51:28","slug":"news-8951","status":"publish","type":"post","link":"http:\/\/www.palada.net\/index.php\/2019\/04\/29\/news-8951\/","title":{"rendered":"Il machine learning affina le armi nella lotta contro i documenti dannosi"},"content":{"rendered":"

Credit to Author: Sophos Italia| Date: Fri, 19 Apr 2019 05:30:22 +0000<\/strong><\/p>\n

\n

I criminali continuano a sfruttare le caratteristiche del formato PDF di Adobe per effettuare attacchi malware e di phishing, senza alcun segno di rallentamento. Lo scorso anno al Black Hat USA ho tenuto una presentazione sull\u2019individuazione dei malware basati su PDF<\/a> tramite il machine learning. In quell\u2019occasione avevo scoperto che il miglior motore antivirus era in grado di rilevare meno dell\u201985% dei campioni di PDF dannosi mai visti prima, ma combinando un modello di machine learning con il motore antivirus eravamo in grado di migliorare questo dato fino a rilevare con accuratezza oltre il 95% dei nuovi PDF dannosi.<\/p>\n

Tuttavia, visto il volume di documenti dannosi in circolazione, quel 5% pu\u00f2 essere piuttosto significativo. Per questo motivo, dall\u2019anno scorso abbiamo continuato a lavorare sull\u2019utilizzo del machine learning per affrontare il problema dei PDF e dei documenti Microsoft Office dannosi (mal-PDF e maldoc). Alcune settimane fa, al Black Hat Asia 2019 tenutosi a Singapore, ho presentato la nostra ultima ricerca sul machine learning per il rilevamento dei virus utilizzando le regole euristiche antivirus, sulle quali si basa la maggior parte delle soluzioni antivirus tradizionali: Weapons of Office Destruction: Prevention with Machine Learning<\/a>.<\/p>\n

Nello specifico, l\u2019approccio sfrutta le migliaia di regole euristiche gi\u00e0 usate nelle soluzioni antivirus tradizionali. Crediamo che le forti regole euristiche basate sulla conoscenza del settore dei motori antivirus esistenti siano pi\u00f9 accurate ai fini dell\u2019apprendimento rispetto alle funzioni o caratteristiche che l\u2019algoritmo del machine learning deriva automaticamente, non avendo conoscenza di questo settore. In sostanza, le regole euristiche formano e perfezionano l\u2019algoritmo del machine learning in modo che svolga meglio il proprio compito.<\/p>\n

Test della prevenzione dei maldoc<\/h2>\n

Abbiamo valutato l\u2019efficacia dell\u2019approccio da noi proposto nei confronti di uno dei vettori per la trasmissione dei malware pi\u00f9 popolari: i documenti di Microsoft Office \u201carmati\u201d<\/a>. L\u2019ampia popolarit\u00e0 dei documenti Office li ha portati a diventare uno dei principali meccanismi di trasmissione di malware, tramite allegati alle email<\/a> o download dal Web.<\/p>\n

\"\"<\/a>
Analisi dei tipi di attacchi osservati nel test dei documenti dannosi. La maggior parte degli attacchi sfruttava Visual Basic incorporato nei documenti Office.<\/figcaption><\/figure>\n

Secondo un report Sophos precedente, oltre l\u201980% dei malware basati su documenti \u00e8 stato trasmesso tramite file Word o Excel. Anche se questi attacchi non sono nuovi nel Web, l\u2019aumento del volume e della complessit\u00e0 degli attacchi pone una sfida importante ai prodotti antivirus tradizionali basati su firma.<\/p>\n

Nella dimostrazione, abbiamo usato un elenco completo di oltre 3000 regole euristiche per formare il modello di machine learning. Abbiamo raccolto una serie campione di circa 100.000 documenti Office (un mix di file benigni e dannosi) per testare e perfezionare ulteriormente il modello.<\/p>\n

\"\"<\/a><\/p>\n

I nostri risultati hanno mostrato prestazioni e tassi di rilevamento incoraggianti. L\u2019approccio da noi proposto si avvicina molto al tasso di accuratezza che cercavamo di raggiungere, che siamo stati in grado di misurare e mostrare nella curva ROC (Receiver Operating Characteristic) rappresentata nel grafico qui sopra.<\/p>\n

Il grafico ROC confronta veri e falsi positivi e mostra come il modello \u00e8 stato in grado di arrivare estremamente vicino a un tasso di \u201cveri positivi\u201d perfetto, in media di oltre il 99,5% per i documenti e i file di testo, e oltre il 98,5% per gli archivi .zip compressi.<\/p>\n

L\u2019approccio proposto pu\u00f2 ottenere curve ROC<\/a> con un\u2019AUC maggiore di 0,99 per il modello di machine learning proposto.<\/strong><\/p>\n

\"\"<\/a>
I risultati dei nostri test di machine learning (linea rossa tratteggiata) rispetto al rilevamento euristico di Sophos Antivirus (linea blu continua) e di altri 10 prodotti antivirus commerciali celebri (linee grigie tratteggiate) hanno mostrato un notevole incremento nel volume e nell\u2019accuratezza del rilevamento, che sono migliorati nel corso dei due mesi del test.<\/figcaption><\/figure>\n

Questi risultati, che hanno usato campioni reali recenti di malware, mostrano prestazioni promettenti. L\u2019applicazione del machine learning per raggiungere un verdetto su un documento sconosciuto ha ottenuto prestazioni migliori rispetto a quelle di dieci celebri programmi antivirus commerciali, con un tasso di veri positivi (TPR) molto pi\u00f9 alto.<\/p>\n

Si tratta di una grande vittoria per il machine learning nella sua lotta contro i malware.<\/p>\n

 <\/p>\n

di Jason Zhang, SophosLabs Senior Threat Researcher<\/p>\n<\/p><\/div>\n

http:\/\/feeds.feedburner.com\/sophos\/dgdY<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

<\/p>\n

Credit to Author: Sophos Italia| Date: Fri, 19 Apr 2019 05:30:22 +0000<\/strong><\/p>\n

Una grande vittoria per il machine learning nella sua lotta contro i malware<img src=”http:\/\/feeds.feedburner.com\/~r\/sophos\/dgdY\/~4\/DP51KDsRM8c” height=”1″ width=”1″ alt=””\/><\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[10378,10377],"tags":[12038,12307],"class_list":["post-15202","post","type-post","status-publish","format-standard","hentry","category-security","category-sophos","tag-machine-learning","tag-sophos-news"],"_links":{"self":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts\/15202","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/comments?post=15202"}],"version-history":[{"count":0,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts\/15202\/revisions"}],"wp:attachment":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/media?parent=15202"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/categories?post=15202"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/tags?post=15202"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}