Здравствуйте, Nuzhny, Вы писали:

N>И в чём проблема-то? Классификация бывает не только бинарная.

Вообще проблема в том, что вредоносность программы — это более юридическое понятие, чем техническое. Даже для реальных вирусов, а тем более для того, что и большинство пользователей не сочтут для себя вредоносным. Не, ну нейросети можно и на юридические аспекты тренировать, если ей их суметь представить в виде каких-то признаков. Просто чисто программного кода тут боюсь недостаточно.

N>Так в чём проблема? Ты можешь описать? Почему нельзя классифицировать не бинарно (вредно, полезно), а поумнее? Что мешает сделать много разных классов, ансамбль сетей и т.д.?

Сети и так редко классифицируют бинарно, обычно выдается вероятность соответствия предъявленного образца какому-то классу, а классов может быть действительно много и т.д. Но в таком виде это скорее инструмент для исследователя, а не обычного конечного пользователя. Что он будет делать с этим набором, просто скачав какую-то программу?

Кстати, я совсем забыл, что помимо отнсения к вредным разных в общем-то безобидных прогрмм, есть и обратная проблема — полно софта, который по всем привычным меркам надо было бы считать вредоносным, но считается приличным. Например, софт с телеметрией, тем более неотключаемой.

В общем, мне кажется с точки зрения пользы было бы интереснее, на мой взгляд, искать не malware, а уязвимости в имеющемся софте, в том числе или даже в первую очередь, по анализу бинарника. Анализаторы исходного текста имеются, а вот бинарников и чтобы автоматически явно меньше, если есть.

Здравствуйте, Michael7, Вы писали:

>Сети и так редко классифицируют бинарно, обычно выдается вероятность соответствия предъявленного образца какому-то классу, а классов может быть действительно много и т.д. Но в таком виде это скорее инструмент для исследователя, а не обычного конечного пользователя. Что он будет делать с этим набором, просто скачав какую-то программу?

в отличии от существляется антивирусов
классификация осуществляеться не только по сигнатуре

возможно автоматическое выделение признаком для классификации

Здравствуйте, BlackEric, Вы писали:

я сделал класификацию с учетом:

строк в файле
импортируемых функций
последовательность вызываемых функций


вот такой результат

files.rsdn.org/56990/all.png



могу добавить ngram скажем первых 100 выполимых команд

Здравствуйте, sergey2b, Вы писали:


S>



S>могу добавить ngram скажем первых 100 выполимых команд

Не плохо, спасибо

Здравствуйте, sergey2b, Вы писали:

Что за курс?

>engine который будет детектировать вирусы с использованием AI
>как вы считаете какие критерии бинарного файла можно взять за критерии детектирование вирусов
тут нет никакого противоречия?

если в системе просто применяется некий конкретный алгоритм для классификации объектов, то это не AI, а просто алгоритм.
у нейросетей же идея в том, чтоб обучить на примерах, когда алгоритм невозможно выписать принципиально или он слишком многокритериальный/сложный/нечёткий и т.п. Учим нейрону на известных примерах, после чего пытаемся с её помощью классифицировать неизвестные

Здравствуйте, Nuzhny, Вы писали:

M>>А тут проблема прямо сразу рисуется — не совсем понятно, что вообще объектом обучения считать. С ней будет или большое количество ложно-положительных результов или низкая вероятность детекции.

N>Так в чём проблема? Ты можешь описать? Почему нельзя классифицировать не бинарно (вредно, полезно), а поумнее? Что мешает сделать много разных классов, ансамбль сетей и т.д.?

Действительно, что же мешает? В форуме по Shareware спросите, что же мешает авторам антивирусов не копипастить друг у друга false positives, обсуждения которых забивают поисковую выдачу и отпугивают покупателей? Что же мешает штрафовать авторов херовых антивирусов (а они все такие) и почему антивирус должен быть детерминированным, а нейросети этому только помешают?