Солдатов в Телеграм

Непригодность нейросетей для решения задач нередко объясняется нашим "неумением их готовить". Поясню. У нас есть экспериментальный Волшебник Мерлин, который подсказывает аналитикам на что обратить внимание при расследовании алертов. О нем я упоминал в презентации на слайде 15. В качестве Подсказчика Мерлина используется обычная, не расширенная никакими RAG-ами и фью-шотами, развернутая в корпоративной инфраструктуре, LLM, в нашем случае - LLaMA. В ходе экспериментов было замечено, что если в Мерлина подать необработанный JSON алерта, то результат будет неудовлетворительным, однако, если JSON алерта переписать текстом, то результат будет вполне приемлемым. В нашем случае алерт - это совокупность событий, а каждому событию несложно поставить в соответствие его словесное описание (для этого не требуется никакой машобуч, там биективное соответствие)

Я уже писал о том, что конволюционные (по-русски, можно встретить термин "сверточные") нейросети (CNN), придуманные изначально для компьютерного зрения, стали пытаться применять для анализа связей в графах наряду с графовыми нейросетями (GNN).

Но вот эта публикация мне предсталяется более перспективной (абстракт, pdf). Здесь ребята извлекают фичи из образцов и преобразуют их в вид QR- и Aztec-кодов. Далее, полученные представления образца в виде QR/Aztec подают на вход CNN, классифицирующей малвару.

В целом, QR, как будто, хорошее представление входных данных для CNN, но под вопросом емкость такого представления, да и ограниченность на статистическом анализе малвары тоже не способствует универсальности метода. Но попытка засчитана!

Что ожидаю:
- повышение емкости входных данных для анализа. Если мы говорим о CNN, спроектированных для анализа изображений, то, может, кто-нибудь предложит трансформировать входные данные для анализа в изображение или видео.
- покрытие динамики. Динамика, на мой взгляд, более перспективна чем статика. Он закроет использование обфусцированной и полиморфной малвары, но, что еще более актуально, - сценарии Living-off-the-Land и поведенческое детектирование. Будем следить.

А еще, чем больше я изучаю различных прикладные применения нейросетей, невольно вспоминаю "Зенитные кодексы Аль-Эфесби" ... Нужно понимать, что новые функциональные возможности открывают новые сценарии атак.

#MDR #ml

arXiv.org

Image-Based Malware Classification Using QR and Aztec Codes

In recent years, the use of image-based techniques for malware detection has gained prominence, with numerous studies demonstrating the efficacy of deep learning approaches such as Convolutional...

👍8👀4❤1👏1

www.tgoop.com/soldatov_in_telegram/527

1.46K viewsDec 12, 2024 at 11:14

Непригодность нейросетей для решения задач нередко объясняется нашим "неумением их готовить". Поясню. У нас есть экспериментальный Волшебник Мерлин, который подсказывает аналитикам на что обратить внимание при расследовании алертов. О нем я упоминал в презентации на слайде 15. В качестве Подсказчика Мерлина используется обычная, не расширенная никакими RAG-ами и фью-шотами, развернутая в корпоративной инфраструктуре, LLM, в нашем случае - LLaMA. В ходе экспериментов было замечено, что если в Мерлина подать необработанный JSON алерта, то результат будет неудовлетворительным, однако, если JSON алерта переписать текстом, то результат будет вполне приемлемым. В нашем случае алерт - это совокупность событий, а каждому событию несложно поставить в соответствие его словесное описание (для этого не требуется никакой машобуч, там биективное соответствие)

Я уже писал о том, что конволюционные (по-русски, можно встретить термин "сверточные") нейросети (CNN), придуманные изначально для компьютерного зрения, стали пытаться применять для анализа связей в графах наряду с графовыми нейросетями (GNN).

Но вот эта публикация мне предсталяется более перспективной (абстракт, pdf). Здесь ребята извлекают фичи из образцов и преобразуют их в вид QR- и Aztec-кодов. Далее, полученные представления образца в виде QR/Aztec подают на вход CNN, классифицирующей малвару.

В целом, QR, как будто, хорошее представление входных данных для CNN, но под вопросом емкость такого представления, да и ограниченность на статистическом анализе малвары тоже не способствует универсальности метода. Но попытка засчитана!

Что ожидаю:
- повышение емкости входных данных для анализа. Если мы говорим о CNN, спроектированных для анализа изображений, то, может, кто-нибудь предложит трансформировать входные данные для анализа в изображение или видео.
- покрытие динамики. Динамика, на мой взгляд, более перспективна чем статика. Он закроет использование обфусцированной и полиморфной малвары, но, что еще более актуально, - сценарии Living-off-the-Land и поведенческое детектирование. Будем следить.

А еще, чем больше я изучаю различных прикладные применения нейросетей, невольно вспоминаю "Зенитные кодексы Аль-Эфесби" ... Нужно понимать, что новые функциональные возможности открывают новые сценарии атак.

#MDR #ml

BY Солдатов в Телеграм