هيكلية تعلم عميق من النهاية إلى النهاية لتصنيف محتوى ملفات البرمجيات الخبيثة الثنائية

في التقنيات التقليدية لتعلم الآلة المستخدمة في كشف البرمجيات الخبيثة وتصنيفها، تُبذل جهود كبيرة في تصميم الميزات يدويًا بناءً على الخبرة والمعرفة المتخصصة في المجال. وتهدف هذه الحلول إلى هندسة الميزات لاستخلاص ميزات تُقدّم رؤية مجردة للبرنامج البرمجي. وبالتالي، يعتمد أداء الفاصل (classifier) بشكل كبير على قدرة الخبراء في المجال على استخلاص مجموعة من الميزات الوصفيّة. بدلًا من ذلك، نقدّم نهجًا جديدًا قائمًا على التعلم العميق من النهاية إلى النهاية، يعتمد على تسلسلات البايت الخام دون الحاجة إلى استخلاص ميزات مصممة يدويًا. يتكون هذا النهج من مكوّنين رئيسيين: (1) مُشفّر تلقائي مُزيل للضوضاء (denoising autoencoder) الذي يتعلّم تمثيلًا خفيًا لمحتوى البرمجية الخبيثة الثنائي؛ و(2) شبكة متعددة الطبقات ذات تضخيم متبقي (dilated residual network) كمصنّف. وأظهرت التجارب أداءً مبهرًا، حيث تحقق دقة تقارب 99% في تصنيف البرمجيات الخبيثة إلى عائلات مختلفة.