基於变换器的恶意软体语意分析框架 (ARD/314)

政府资讯科技总监办公室
立高科技有限公司

近年来，恶意软体数量大幅增加，在 2022 年，全球恶意软体攻击数量达到 55 亿次，其中大多数是恶意软体的变种。随着恶意软体的复杂性增加，骇客利用先进技术绕过侦测（规避技术），这对恶意软体分析带来了挑战。网路威胁趋势面临着不同的挑战，包括对未知变种的检测率低问题、全球网路安全专业人员短缺以及缺乏自动化和準确分析工具等。恶意利用生成式人工智慧 (Generative AI) 產生恶意软体变种使情况更加复杂。 在这项目中，ASTRI尝试开发强大的基於变换器的恶意软体语意分析框架安全地分析恶意软体和变体来解决以上的问题。目标是希望协助、优化和简化恶意软体分析过程，以减少网路安全专家耗时的工作。 恶意软体语意分析框架包括档案解析器，这是一个新的管线(pipeline)以简化恶意软体情报收集和还原规避过程，透过以上标準化输入来促进机器学习分析。同时也将开发一个反汇编模组，可以处理各种 CPU 架构的输入档并输出与 CPU 架构无关的汇编程式码（LLVM-IR）。我们也会透过使用标记的程式码片段来训练用於相似性分析的微调模型（恶意软体相似性模型）。它专注於提取意义（语意特徵），克服了传统句法分析稳健性低的问题，具有更好的检测精度。