image

Израильский стартап Deep Instinct объявил о разработке антивирусной программы нового поколения, которая будет использовать для поиска вирусов самообучающиеся нейронные сети. Разработчики заявляют, что таким образом их продукт сможет находить новые, неизвестные ранее вирусы, без обновления вирусных баз.

Современные антивирусы в массе своей работают реактивно, то есть реагируют на появление новых вирусов уже после того, как те стали известными. Чтобы антивирус смог справиться с вирусом, разработчикам антивируса необходимо внести в базу данных информацию, идентифицирующую новый вариант вредоноса. В результате, в промежутке между появлением вируса и обновлением антивирусной базы компьютеры остаются уязвимыми.

Присутствующий в современных антивирусных программах «эвристический анализ» позволяет отследить некоторые новые варианты известных ранее вирусов, а также вирусы с автоматически мутирующим кодом.

Илай Давид, сооснователь и технический директор стартапа, поясняет, что их компания создаёт нейронную сеть, тренирующуюся по тысячам различных параметров на разных представителях вредоносных программ. Для первоначального обучения требуются большие вычислительные мощности. Затем между конечными пользователями будет распространяться уже статическая нейронная сеть, а её использование уже не будет требовать серьёзных вычислений.

По непроверенным заявлениям разработчиков, их антивирус уже удаляет на 20% больше вредоносов, чем любое другое антивирусное ПО. Трое разработчиков, составляющих костяк команды стартапа, ранее работали в Microsoft.

Профессор Джордж Цыбенко [George Cybenko], изучающий использование машинного обучения в области компьютерной безопасности, прокомментировал указанные заявления. Он сказал, что идея использования нейросетей для поиска зловредного ПО витает в воздухе уже более десяти лет. Если заявленные стартапом цифры подтвердятся при строгих проверках, то это, безусловно, будет прорыв. С другой стороны, по правилам вечной борьбы снаряда и брони, вирусописатели наверняка изучат новый антивирус, и, возможно, смогут придумать способы его обхода.

Комментарии (9)


  1. EndUser
    02.11.2015 21:45
    +1

    Интересно и странно, что раньше не применялось.

    Но таки как при detect-ratio по базару 98% можно удалить на 20% больше?


    1. Sergey6661313
      02.11.2015 22:24
      +3

      это же очевидно на 146%


  1. TimID
    02.11.2015 23:36
    -1

    Ну какой же бред, я извиняюсь. Эти «стар… пёры» хоть понимают статистическую природу нейронных сетей? Да и сколько входных параметров у такой сети будет — миллион?


    1. AlexBin
      03.11.2015 14:03
      +2

      Поясните новичку, чем плох миллион параметров?


  1. Foror
    03.11.2015 07:51

    >возможно, смогут придумать способы его обхода
    Начнут делать вирусы на нейронных сетях… Один из вариантов зарождения скайнета )


    1. norlin
      03.11.2015 10:27

      Скайнет-то как раз из «антивируса» появился, а не из вируса :)


  1. Impuls
    03.11.2015 08:06

    Не ново. Я когда в институте учился у нашего факультета была такая разработка. Даже награды какие-то были и патенты. Правда там была не одна НС, а много маленьких натренерованных на различные угрозы. По аналогии с иммунной системой человека разработка называлась искусственная иммунная система. Пруф


  1. nerudo
    03.11.2015 09:02
    +4

    Моя персональная нейронная сеть легко справляется с обнаружением большинства вирусов, даже неизвестных и даже без анализа содержимого файла по ряду признаков (вербализовать точные параметры сети не могу, это вечная беда нейросетей):
    Если файл скачан непойми откуда
    Если файл пришел почтой от неизвестного контакта
    Если пришла ссылка «обязательно прочитай!»
    Если файл прилагается в виде волшебной таблетки к дистрибутиву за много тыщ баксов


  1. teecat
    03.11.2015 09:48
    +1

    Чем отличается от облака на основе поведенческого анализа поведения программ, когда данные собираются агентом и перелаются в облако?

    Я думаю, что если бы антивирусные вендоры рассказали от том, как ена самом деле все у них работает — было бы очень круто — но это закрытая информация по причине «чтоб злоумышленники не воспользовались»