Sophos open-source ML toolkit vizsgálata

2022. augusztus 25-én vált elérhetővé a Sophos nyílt forráskódú mesterséges intelligencia alapú algoritmusa, mely képes arra, hogy automatikusan YARA szabályokat generáljon kártékony kódok felismerésére. Vizsgálatunk során annak jártunk utána, mennyire hatékony az eljárás.

A YARA szabályok alkalmazása az utóbbi években egyre elterjedtebbé vált. A szabályok létrehozásában hatékonyan képes segíteni a Sophos nyílt forráskódú mesterséges intelligencia alapú algoritmusa, mely egyszerű telepítést követően képes arra, hogy a tanulási folyamatot követően YARA szabályokat hozzon létre. A tanulási folyama során meg kell adnunk, hogy mely mintákat szeretnénk azonosítani, illetve melyek azok az állományaink, amelyeket NEM kívánunk megtalálni. Az alábbiakban azt vizsgáltuk, hogy mennyire hatékony ez az eljárás,

Tanulási minták

A vizsgálathoz használt kártékony kódokat az AMTSO RTTL adatbázsából származnak. A tanuláshoz az adatbázis 2020. november 25-én (!) feltöltött mintegy 22443 kártékony mintáját, illetve a frissen feltelepített Microsoft Windows 10 operációs rendszer 2743 állományát használtuk. A több órás tanulási folyamatot követően elkészült az algoritmus által generált  YARA szabály.

Vizsgálati minták

A tanulási folyamatot követően a az elkészült YARA szabályt a 2023. március 8-17 között időszak 10 napján az AMTSO RTTL adatbázsába feltöltött mintákon teszteltük. A 10 nap alatt feltöltött minták a metaadatok alapján 98%-ban 2023-ban jelentek meg. Az esetleges vaklármák ellenőrzéséhez a Microsoft Windows 10 állományait használtuk. Ezzel amódszerrel azt szimuláltuk, hogy egy szervezeten belül a zárt infrastruktúrában használt állományok kizárásával szeretnénk minél több újonnan megjelent kártékony kódot azonosítani.

Eredmények

Az ellenőrzés során az alábbi eredmények születtek:

csoport összes találat arány
Windows 10 fájlok 2743 9 0,33%
2023. március 8. kártevők 2094 1921 91,74%
2023. március 9. kártevők 2069 1911 92,36%
2023. március 10. kártevők 2080 1929 92,74%
2023. március 11. kártevők 1925 1784 92,68%
2023. március 12. kártevők 1732 1894 91,45%
2023. március 13. kártevők 1944 2060 94,37%
2023. március 14. kártevők 2129 2235 95,26%
2023. március 15. kártevők 2055 2135 96,25%
2023. március 16. kártevők 2228 2335 95,42%
2023. március 17. kártevők 2090 2192 95,35%