Компания Positive Technologies внедрила новую технологию на базе искусственного интеллекта (ИИ) для выявления зловредного программного кода. Нейросеть Molot на основе архитектуры «трансформер» позволяет находить вредоносы в программах на самых популярных в мире языках Python, JavaScript и TypeScript, сообщает пресс-служба разработчика.
По данным компании, Molot в отличие от традиционных методов анализа, ориентированных на обнаружение отдельных фрагментов кода по предопределенным правилам, рассматривает программу как последовательность действий. Искусственный интеллект оценивает, формируют ли эти действия подозрительный сценарий.
Такой подход повышает точность обнаружения вредоносного кода на 15% по сравнению с классическими правилами, делая PT Application Inspector вторым в мире SAST-инструментом, способным идентифицировать угрозы по поведенческим признакам. В то время как большинство инструментов фокусируются на уязвимостях (ошибках или некорректных настройках), которые могут быть использованы для внешних атак, Molot способен выявлять преднамеренно внесенный вредоносный код, который работает с теми же правами, что и легитимное приложение, оставаясь незамеченным для стандартных средств анализа (согласно CWE-506).
Как указывает разработчик, проблема заключается в том, что отдельные действия вредоносного кода, такие как чтение файлов, сетевые запросы или запуск процессов, сами по себе не представляют угрозы и часто встречаются в обычных приложениях. Опасность возникает, когда эти действия выстраиваются в определенную последовательность, например, для кражи учетных данных и их отправки на внешний сервер. Классические методы, проверяющие отдельные конструкции, такие сценарии упускают.
Molot анализирует все действия, совершаемые программой во время ее выполнения: в частности, взаимодействие с сетью, файловой системой, запуск процессов, использование криптографических функций. Эти действия собираются в последовательность и передаются нейросети. Подобно тому как большие языковые модели учатся понимать текст на основе порядка слов, Molot обучается распознавать программы по последовательности их действий, отличая подозрительные сценарии от обычных.
По словам руководителя ML-команды Application Security в Positive Technologies Максима Митрофанова, тестирование на реальных вредоносных пакетах из репозиториев PyPI и npm показало, что Molot находит вредоносный код точнее open-source аналогов, разница доходит до 30 п. п. на части тестов. «Чтобы наши результаты можно было независимо перепроверить, мы публикуем сбалансированный набор данных и сценарии запуска как открытый бенчмарк», - добавил он.
Фото: Шедеврум.