PT Sandbox проводит первичную проверку файлов с помощью ML-технологии ByteDog
В песочницу PT Sandbox , которая входит в состав системы многоуровневой защиты почты PT Email Security, интегрирована нейросеть ByteDog 1. На этапе первичного анализа статическим методом она проверяет файлы на наличие ВПО напрямую на уровне байтов. Такой подход позволяет обнаруживать на 10% больше угроз в режиме статического анализа и на 2% больше в режиме поведенческого анализа. С увеличением мощности работы модели эффективность обнаружения должна вырасти в 3–5 раз. Нейросеть помогает песочнице выявлять ранее неизвестные угрозы вместе со всеми остальными механизмами обнаружения. При этом новый движок не требует больших аппаратных ресурсов по сравнению с привычными инструментами.
Ранее ML-алгоритмы в PT Sandbox применялись только при поведенческом анализе: песочница запускает подозрительные объекты в изолированной виртуальной среде, файлы генерируют сетевой трафик, а модуль машинного обучения проверяет его. Теперь ML-технология используется и в статическом анализе: ByteDog может работать параллельно с классическим движком и антивирусами, усиливая первоначальные проверки и повышая эффективность обнаружения неизвестных угроз без запуска самого файла. Уже на этапе внутреннего тестирования модель выявила аномалии, которые не обнаруживались другими движками. Таким образом, PT Sandbox обеспечивает комплексную защиту от вредоносного ПО, задействуя как классические методы, так и новейшие технологии.
Модель ByteDog не требует ручной подготовки данных под новые виды ВПО. Она анализирует байты файла, читая его как текст, и самостоятельно учится находить необычные признаки, анализировать их и выявлять новые угрозы, после чего выдает вердикт: опасен файл или нет. Таким образом нейросеть расширяет возможности обнаружения угроз.
Читать на habr.com

