Funzionalità di Machine Learning di Windows Defender in Windows 10
Nella sua ultima offerta per offrire una maggiore protezione contro le minacce alla sicurezza che affliggono oggi i consumatori, Microsoft ha migliorato le funzionalità del proprio sistema anti-virus integrato - Windows Defender in Windows 10. Lo strumento mira a rendere il SO Windows 10 il sistema operativo client più sicuro e allo stesso tempo affrontare il problema critico del numero di rilevamenti sia falsi negativi che falsi positivi, attraverso la nuova pipeline di automazione che impiega più strumenti e tecnologie per elaborare il malware e software indesiderato. Questi includono:
- Apprendimento automatico
- Clustering
- Cosmo
- Azure e Cloud
Machine Learning in Windows Defender
Oltre ad includere diverse nuove tecnologie, offre anche capacità di apprendimento automatico. Machine Learning è una tecnica che di solito aiuta gli analisti umani a gestire innumerevoli campioni di malware. Un classico esempio di questo è il processo di clustering. Dopo aver progettato una funzione di somiglianza basata sulle funzionalità estratte dai campioni, i campioni di malware possono essere classificati in gruppi in cui i membri dello stesso gruppo presentano caratteristiche simili e nessuno se dissimile. Gli analisti possono quindi concentrarsi su questi gruppi.
Prima di tutto ciò, il processo di automazione aiuta a rilevare il malware non appena viene rilevato. Il processo aiuta in particolare a consentire ai ricercatori di scrivere firme di rilevamento generico migliori e routine di pulizia del dispositivo, di produrre strategie di eradicazione del malware e di identificare i punti di controllo per ridurre il malware.
Dopo aver rilevato un file sospetto, viene estratto ed eseguito all'interno di un ambiente virtuale. Il processo di automazione aiuta a ordinare l'esempio in una delle seguenti classi:- Pulito
- Malware
- Virus
- Software indesiderato
Le classi sopra menzionate sono programmate per il routing verso un'uscita specifica. Ad esempio, un file dopo essere stato contrassegnato come malware, viene automaticamente inviato alla protezione per esso ai motori cloud di Microsoft. I clienti che hanno attivato Microsoft Active Protection Service (MAPS) usufruiscono dei vantaggi di una migliore protezione contro le minacce più recenti.
Ogni settimana ci sono nuove varianti di malware in arrivo. Come tali possono mutare per eludere il rilevamento. Il rilevamento di tali varianti tramite firme di rilevamento complesse può diventare un compito scoraggiante. Il processo di automazione aiuta a rilasciare il miglior tipo di firma generica per un determinato file o cluster di file. Con questo, le metriche allegate a una firma automatica possono essere facilmente analizzate.
Leggere: Windows Defender è sufficiente e sufficiente per Windows 10.
Classificare le famiglie di malware
Se il sistema di automazione per qualche motivo fallisce e non è in grado di identificare con certezza la famiglia reale di malware, assegna al malware un nome di famiglia sintetico generico. I nomi di famiglia per il malware classificato dall'automazione sono:
- DORV
- Pocyx
- Toga
- Skeeyah
- Dynamer
- Anaki
- Bagsu
- Beaugrit
- Bulta
- Tefau
Le singole minacce all'interno di queste famiglie di solito seguono il formato:
Trojan: Win32 /
L'utilizzo dell'automazione consente a Microsoft di rilevare e rimuovere più rapidamente malware e software indesiderato e di proteggere meglio i propri clienti.
Per garantire la protezione più recente, mantenere aggiornato il software di sicurezza in tempo reale, ad esempio Windows Defender per Windows 10 e garantire che Microsoft Active Protection Service (MAPS) utilizzi la protezione cloud per proteggersi dal malware più recente minacce, è abilitato.