Positive Technologies научила нейросеть находить вирусы, «читая» файлы как текст

Компания Positive Technologies разработала нейросеть для обнаружения вредоносного кода. Модель ByteDog основана на архитектуре «трансформер», которую используют LLM (большие языковые модели). В отличие от классических моделей, ByteDog работает не с текстом или изображениями, а анализирует и понимает файлы как они есть — в виде байтов. Это даёт возможность ей определять вредоносное ПО на 20% точнее, чего раньше не могла достичь ни одна классическая модель машинного обучения. Это первая подобная разработка в информационной безопасности в России и Европе.

ИИ давно применяется в кибербезопасности, но до сих пор требовал ручной подготовки данных под каждый свежий вид вирусов: разметчики извлекали из файлов признаки (опкоды, подстроки, структуру импортов), по которым нейросети учились отличать вредоносный код от обычного.

ByteDog убирает этот этап. После обучения модель анализирует байты файла напрямую — в том же виде, как они хранятся на ПК, смартфоне, в облаке или интернете. ByteDog способна сама учиться находить закономерности, экстраполировать их и обнаруживать угрозы, которые ранее не встречались в данных. Этим она превосходит системы, основанные на жестких, фиксированных правилах. Приблизительно так же LLM учатся понимать текст, не зная заранее грамматических правил: они обрабатывают последовательности символов и выстраивают внутренние представления о структуре языка. Только вместо слов и предложений здесь обычные файлы.

Обучение и тестирование ByteDog проводились образцах из реальных киберинцидентов на протяжение года. Модель продемонстрировала превосходство над классическими ML-моделями по качеству детектирования и скорости анализа — разница составила более 20%. ByteDog будет интегрирована в ряд продуктов и сервисов Positive Technologies по обнаружению киберугроз.

Андрей Кузнецов, ML-директор Positive Technologies

Один из примеров эффективности модели: представим, что сотрудник получает по электронной почте файл, который выглядит как счет от подрядчика, но сам вирус скрыт внутри файла. Чтобы его обнаружить классическими методами, антивирусу нужно совершить некоторое количество операций, которые занимают время: распаковать файл, извлечь исходный исходник, пропустить данные через фиксированные антивирусные правила. ByteDog, работая на устройстве сотрудника, пропускает все эти шаги и видит файл так, как его и операционная система — последовательностью байтов. Если в этой последовательности есть признаки, характерные для вредоносного кода, схема их обнаружит даже если вирусы спрятаны сложным способом.

Главная техническая сложность при разработке — длина входных данных. Если большая языковая схема работает, в среднем, с контекстом до 128 тысяч токенов, то обычный файл — это мегабайты, то есть миллионы байт, ни один из которых нельзя пропустить. Для решения этой проблемы схема анализирует файлы фрагментами, а затем собирает общую картину. ByteDog спроектирована так, что для применения уже обученной модели не нужен графический ускоритель, и она может функционировать на устройствах пользователей — ПК и смартфонах.