Компания разработала модель на архитектуре «трансформер», которую используют большие языковые модели. ByteDog анализирует файлы не как текст или изображения, а напрямую — в виде байтов. Это позволяет обнаруживать вредоносный код без ручной разметки данных и находить угрозы, которые раньше не встречались. Точность и скорость модели более чем на 20% выше классических ML-решений.
Positive Technologies представила первую в России и Европе нейросеть для обнаружения вредоносного кода на архитектуре «трансформер». Модель получила название ByteDog. Она работает не с текстом или картинками, а анализирует файлы в том же виде, как их видит операционная система — последовательностью байтов.
Раньше для обучения ИИ в кибербезопасности требовалась ручная подготовка данных. Специалисты извлекали из файлов признаки, по которым нейросеть училась отличать вирус от обычного кода. ByteDog пропускает этот этап. Модель сама находит закономерности на нескольких миллионах параметров и способна экстраполировать их на новые, ранее не встречавшиеся угрозы. Это превосходит системы с жёсткими фиксированными правилами.
Главная техническая сложность — длина входных данных. LLM работают с контекстом до 128 тыс. токенов, а обычный файл весит мегабайты, то есть миллионы байт. Ни один из них нельзя пропустить. ByteDog решает проблему: она анализирует файл фрагментами, а затем собирает общую картину. Для работы уже обученной модели не нужен графический ускоритель, она запускается на обычных ПК и смартфонах.
Пример из компании: сотрудник получает по почте файл, похожий на счет от подрядчика, но вирус спрятан внутри. Классическому антивирусу нужно распаковать файл, извлечь код, пропустить через правила. ByteDog на устройстве сотрудника видит файл как последовательность байтов. Если в ней есть признаки вредоносного кода, модель обнаружит их, даже если вирус спрятан сложно.
Обучение и тестирование ByteDog шло год на реальных образцах из киберинцидентов. ML-директор Positive Technologies Андрей Кузнецов сообщил, что модель показала превосходство над классическими ML-моделями по качеству и скорости более чем на 20%. ByteDog уже интегрировали в песочницу PT Sandbox, а затем её получат продукты MaxPatrol SIEM и MaxPatrol O2.
Читать далее:
Вселенная внутри черной дыры: наблюдения «Уэбба» подтверждают странную гипотезу
Испытания ракеты Starship Илона Маска вновь закончились взрывом в небе
Сразу четыре похожих на Землю планеты нашли у ближайшей одиночной звезды
Обложка: freepik
