Нейросеть ByteDog научили искать вирусы в обход маскировки

На 20% эффективнее классических алгоритмов работает новая нейросеть ByteDog, представленная Positive Technologies. В отличие от стандартных антивирусов, ИИ анализирует не отдельные фрагменты кода, а файлы целиком в их исходном виде. Это позволяет системе находить скрытые угрозы, которые раньше требовали долгой ручной обработки экспертами.

Разработчики использовали архитектуру «трансформер», которая легла в основу современных языковых моделей. Однако ByteDog сфокусирована не на тексте, а на последовательностях байтов. Традиционные методы поиска вредоносного ПО полагаются на предварительное выделение опкодов и структуры модулей. Новая модель пропускает этот этап, самостоятельно выявляя закономерности в «сырых» данных. Это критически важно при столкновении с файлами, где вредоносный код замаскирован под обычные счета или офисные документы.

Одной из главных проблем при создании ИИ стал размер файлов. Если стандартные языковые модели ограничены контекстом в 128 тысяч токенов, то программный код может содержать миллионы байт. ByteDog обходит это ограничение, анализируя данные частями и затем собирая общую картину. При этом для работы готовой модели не требуется графический ускоритель. ИИ оптимизирован для запуска на обычных пользовательских устройствах, включая смартфоны и персональные компьютеры.

В течение года систему обучали на массивах данных, собранных в ходе реальных киберинцидентов. Тесты подтвердили, что ByteDog превосходит существующие ML-решения не только в точности, но и в скорости анализа. В ближайшее время Positive Technologies планирует интегрировать технологию в свои основные сервисы для защиты от цифровых угроз.