大家好，我是 零日情报局。

本文首发于公众号零日情报局，微信ID：lingriqingbaoju。

最近，微软和英特尔合作开展了一个新的安全研究项目——STAMINA（STAtic Malware-as-Image Network Analysis），将未知软件转化为图像，通过图像扫描法进行检测分析。简单点说，就是给疑似恶意软件拍“X光”，然后专家们可以根据这张“X光片”判断是不是真的恶意软件，以及是哪种恶意软件。

至于怎么给恶意软件拍X光？我们简单粗暴地描述下整个过程：

（STAMINA技术将恶意软件转换图像分析流程）

首先，将未知软件转换为简单的01010像素流；

接着，按照软件的原始数据流，转换成一张图片，图片尺寸随文件大小而变化；

然后，有了图片版的软件，就可以把他们丢进神经网络(DNN)进行“X光”扫描；

再然后，经过全方位透彻的扫描，图像版软件就被神经网络(DNN)划分为干净和已感染两大类； 

最后，分类完毕之后，就是生成该软件的“X光”分析以及专家后期的人工分析。到这一步就可以确定，可疑软件是不是真恶意软件，以及是什么种类的恶意软件，并提供包括准确性、误报率、召回率、F1分数和接收器工作曲线的详细分析。

明白了微软英特尔给可疑恶意软件拍X光的全流程，再说说STAMINA技术把可疑软件从.exe变.jpg中，一个值得注意的隐藏亮点。

那就是这种技术处理可疑软件时，不需要全尺寸、逐像素的重建，这对处理大型可疑恶意软件是个好消息，当然现阶段技术还没有完全成熟到这种程度。不过，从目前超过99.07%的分类准确率，以及低于2.6%的误报率来看，STAMINA堪称全能恶意软件“X光扫描机”。

（可疑恶意软件重建图片尺寸调整方法）

看到这里，那些充满忧患意识的技术从业者，可能已经开始思考STAMINA会不会取代人的长远问题。

但零日想告诉你，不能。

至于为什么？首先，不可否认STAMINA的出现，改变了以往冗杂且繁琐的可疑恶意软件检测流程，但目前尚在初期阶段，且就算未来成熟，也只是提高人员工作效率罢了。

其次，STAMINA的高准确率，是建立在220万个受感染的PE（PortableExecutable）文件哈希样本，说白了准确源自大数据。

（PE文件示例）

智能不等于智慧。说得再通俗一点说，STAMINA能拍可疑恶意软件的“X光”，扫描出全部的数据，甚至确定有没有感染，但最终如何应对，还得靠专业的技术从业者。

话说回来，恶意软件检测等技术分析始终都是个抽象的工作。STAMINA把可疑软件变成图片再分析的方式，却把抽象概念变可视的图像内容，是十分具有借鉴意义的。至于这种全新的技术，能不能适应行业，适合未来发展，零日先不表态，实践会检验一切。

你看不看好，我们留言区见。

参考资料：

[1] Intel&Microsoft《STAMINA: Scalable Deep Learning Approach forMalware Classification》