吳明宜微軟周二公佈一個不需人類協助,能自主分析和分類軟體的 AI 代理人,可協助加速偵測惡意軟體。
微軟這個以大語言模型 (LLM) 驅動的自主惡意程式分類系統,代號為 Project Ire,目前還是原型。微軟指出,Project Ire 可自動化執行惡意分類的黃金標準:在完全不知來源或目的情況下完全逆向工程軟體檔案。 Project Ire 使用反組譯器和其他專門工具、會檢查分析結果,最後判斷軟體是惡意還良性。
微軟表示,Project Ire 的目的是大規模執行惡意軟體分類、加速威脅回應,並且降低分析人力成本,最重要的是準確判斷程式樣本是惡意或良性。技術上,它會用專門工具逆向工程軟體、從多層次分析,包括從低階的二進位分析,到控制流程重構和程式高階解譯。
它從 API 呼叫各種逆向工程工具輔助分析,包括微軟本身以 Project Freta 為基礎的記憶體分析沙箱工具、自訂工具和開原工具、文件搜尋,以及多種反組譯器。 Project Freta 是一種探索工具,可從 Linux 系統的記憶體快照中辨識難偵測的惡意軟體,如 rootkit 、進階惡意軟體。
Project Ire 評斷軟體是多步驟的過程 :
- 以自動化逆向工程工具辨識檔案類型、結構和其他重點。
- 以 angr 和 Ghidra 等框架重構軟體控制流程圖
- LLM 從 API 呼叫專門工具辨識和總結關鍵功能。
- 系統呼叫驗證器工具,比對證據來驗證其發現,最後達成結論。
這套系統會在分析時記錄並累積證據成為「紀錄鏈」,詳細說明系統何以推論出其結論,這些記錄可供安全部門檢視,或在分類錯誤時回饋到系統用以改進。
Project Ire 開發完成後,微軟利用它來測試公開 Windows 驅動程式的資料集,結果是,Project Ire 正確標籤率達 90%,把良性檔案標為惡意檔案的誤判率僅 2% 。而以 4000 多個真實檔案來測試,Project Ire 成功從 10 個惡意檔案中糾出 9 個,而誤判率則只有 4% 。
由於表現優異,微軟計畫將 Project Ire 原型用在 Microsoft Defender 部門的二進位檔分析,協助威脅偵測及軟體分類。其最後計畫是提升系統速度和準確率,正確分類任何來源的檔案。最終,能大規模偵測記憶體中的惡意軟體。
One comment
versatilecherryblossom349d8bcf87
2025-08-08 at 14:50:48
Good