Project Ire مایکروسافت برای تشخیص بدافزار بدون دخالت انسان

ارسال شده توسط امیر متفکر

21 بهمن, 1404

در 15 مرداد, 1404

مایکروسافت پروژه‌ای به نام Project Ire را معرفی کرده که یک عامل AI کاملاً خودکار برای شناسایی بدافزار‌هاست.
در آزمایشی واقعی روی حدود ۴۰۰۰ فایل بررسی‌شده توسط Defender، ۹۰٪ از فایل‌هایی که Project Ire تشخیص داده بود، واقعاً بدافزار بوده‌اند. اما حساسیت آن (recall) تنها حدود ۲۵٪ بوده.
تحلیل: ترکیب بالای دقت با نرخ کشف پایین نشان‌دهنده پتانسیل و نیاز به پیشرفت است. ترکیب عامل AI با تحلیل انسانی ممکن است بهترین مسیر باشد.

معرفی Project Ire

Project Ire یک سیستم AI خودران مبتنی بر مدل‌های بزرگ زبانی (LLMs) است که توسط مایکروسافت توسعه یافته تا بدافزارها را بدون نیاز به تحلیل‌گر انسانی بررسی و شناسایی کند. این پروژه به‌طور رسمی در ۵ اوت ۲۰۲۵ معرفی شد و به‌عنوان گامی پیشرفته در خودکارسازی امنیت سایبری مطرح گردید.

معماری و روش‌شناسی فنی

تحلیل مرحله‌ای (Layered Reasoning):
Project Ire بدافزار را در قالب چند مرحله تحلیل می‌کند تا هر مرحله با تمرکز خاص خود انجام شود و از بار اضافی محاسباتی جلوگیری شود. این تفکیک مراحل ساختار منطقی کار را حفظ کرده و دقت را افزایش می‌دهد.
استفاده از ابزارهای متعدد:
سیستم شامل sandbox مایکروسافت، ابزارهای تحلیل حافظه، چند decompiler، منابع جستجوی مستندات و ابزارهای متن‌باز برای تحلیل فایل‌ها استفاده می‌کند تا نتیجه‌گیری دقیق‌تری از قصد فایل به دست آید.

نتایج آزمایش اولیه

مایکروسافت Project Ire را روی حدود ۴۰۰۰ فایل مشکوک که توسط Defender علامت‌گذاری شده بودند، آزمایش کرد:

از فایل‌هایی که این ابزار به‌عنوان بدافزار تشخیص داده بود، ۹۰٪ واقعاً بدافزار بودند (دقت بالا).
اما تنها حدود ۲۵٪ از همه فایل‌های مخرب موجود را تشخیص داده بود (برنامه نتوانست به‌طور کامل همه تهدیدها را پوشش دهد).

در یک گزارش تکمیلی، کمک‌خبرنامه «Help Net Security» اشاره می‌کند که نرخ مثبت کاذب بسیار کم (حدود ۲٪) بوده و دقت کلی تشخیص در کلاس‌بندی بین فایل‌های سالم و مخرب حدود ۹۰٪ است.

مزایا و چالش‌های فعلی

مزایای اصلی:

خودکفایی بدون دخالت انسان: کاهش بار کاری تحلیل‌گران و صرفه‌جویی در وقت سیستمی که فایل‌های مشکوک را بررسی می‌کنند.
Uniformity در تحلیل: تحلیل ساختاریافته و یکسان روی همه فایل‌ها، حذف خطاهای انسانی و تنوع در سبک بررسی.
قابلیت یکپارچه‌سازی: مایکروسافت برنامه دارد که Project Ire را در Defender ادغام کند تا سرعت و دقت تشخیص افزایش یابد.

چالش‌ها:

نرخ تشخیص پایین (Recall): تنها حدود ۲۵٪ از فایل‌های مخرب در سیستم شناسایی شده است، که نشانگر عدم پوشش کامل مجموعه تهدیدات واقعی است.
توانایی محدود در موارد پیچیده: با اینکه دقت اولیه بالا است، سیستم هنوز در تشخیص نمونه‌های نامتعارف یا پیشرفته ممکن است ناکام بماند و نیازمند آموزش و تقویت بیشتر است.

تاثیر بر آینده دفاع سایبری

خودکارسازی پردازش‌های تحلیلی: Project Ire دریچه‌ای به سمت کاهش وابستگی به تحلیل‌گران انسانی برای بررسی فایل‌های مخرب و افزایش مقیاس‌پذیری عملیات امنیتی باز کرده است.
ترکیب با Defender: ادغام پروژه با Defender می‌تواند به افزایش دقت تشخیص و سرعت پاسخ‌دهی کمک کند و رویکرد ترکیبی تحلیل‌گر+AI را تقویت نماید.
رقابت با پروژه‌های مشابه: شرکت‌هایی مانند گوگل نیز پیش‌تر نمونه‌هایی از agents خودران در تحلیل بدافزار را معرفی کرده‌اند، نشان‌دهنده یک روند عمومی در صنعت امنیت است.

خلاصه و جمع‌بندی

نکته	توضیح
نوع پروژه	سیستم AI خودران برای تشخیص بدافزار
دقت تشخیص (Precision)	حدود ۹۰٪ آنچه علامت زده شده، واقعاً مخرب بود
نرخ کشف (Recall)	حدود ۲۵٪ از کل فایل‌های مخرب موجود شناسایی شدند
نرخ خطای مثبت (False Positive)	بسیار پایین، در حدود ۲٪
مزیت کلیدی	سرعت تحلیل مستقل، کاهش بار کار انسانی
محدودیت فعلی	پوشش نامکمل از تهدیدات و عملکرد در موارد پیچیده

نتیجه‌گیری

Project Ire گام اولیه‌ی مهمی به سوی خودکارسازی استقرار هوش مصنوعی در شناسایی بدافزارهاست و نشان می‌دهد که AI می‌تواند در تحلیل پیچیده فایل‌های مشکوک بدون نظارت انسانی وارد شود. با اینکه هنوز نرخ کشف کامل تهدید پایین است، ولی دقت بالا و خطای کم آن نشان می‌دهد که این فناوری پتانسیل واقعی‌ای برای تقویت سیستم‌های مانند Defender دارد. در آینده، با به‌روزرسانی مدل‌ها، افزایش گستره داده‌های آموزشی و ترکیب با تحلیل انسانی، این پروژه می‌تواند به ابزار مؤثری برای SOC‌ها تبدیل شود.

نحوه پیاده‌سازی Project Ire در ساختار هر سازمان

۱. معماری ادغام با Defender و SOC

ادغام مستقیم با Microsoft Defender و Azure Security Center: Project Ire به‌عنوان یک عامل AI جزیی از اکوسیستم امنیتی مایکروسافت طراحی شده و قرار است در Defender ادغام شود تا فایل‌های مشکوک را در زمان واقعی تحلیل و دسته‌بندی کند.
طراحی لایه‌ای تحلیل (Layered Reasoning): سیستم فایل‌ها را در چند مرحله بررسی می‌کند؛ هر مرحله شامل sandboxing، memory analysis، decompilerها و جستجوی مستندات است.

۲. اتصال به زنجیره تحلیلی موجود

سیستم‌هایی که قبلاً از Defender یا Microsoft Sentinel استفاده می‌کنند، می‌توانند Project Ire را به‌عنوان گام تحلیل خودکار وارد جریان کار کنند. نتیجه این است که تنها فایل‌هایی که از مرحله‌های اولیه عبور کردند برای بررسی انسانی ارسال شوند.
اگر سازمان از ابزارهای ثبت و تریدینگ تهدید داخلی (EDD) استفاده می‌کند، لاگ‌ها و هشدارها می‌توانند به Project Ire ارسال شوند تا اولویت‌بندی و تحلیل شود سپس گزارش یا تأیید برای تیم SOC ارسال شود.

۳. استقرار و زیرساخت فناوری

پیاده‌سازی Project Ire نیاز به زیرساخت محاسباتی قدرتمند (CPU/GPU) برای اجرای LLM و sandboxهای تحلیلی دارد. اغلب به‌صورت محیط سرویس ابری یا آن‌پردیس با اتصال امن پیشنهاد می‌شود.
لازم به ترکیب با سیستم‌های DevSecOps باشد تا نسخه‌های جدید مدل و ابزارهای تحلیلی به‌صورت خودکار و کنترل‌شده بروزرسانی شوند.

۴. مکانیزم موازنه (Guardrails)

تیم امنیت باید معیارهایی مثل آستانه اعتماد (confidence threshold) تعریف کند: مثلاً فقط فایل‌هایی با دقت بالای ۹۰٪ توسط Project Ire به‌عنوان «مخرب» طبقه‌بندی شوند. سایر پرونده‌ها به تیم انسانی ارجاع داده شوند.
گزارش و زمینه تصمیم‌گیری شفاف ایجاد شود: Project Ire باید دلیل هر تشخیص، ابزارهای استفاده‌شده، و منابع نشان‌دهنده رفتار مخرب را ثبت کند.

مقایسه Project Ire با سایر ابزارهای AI تشخیص تهدید

ابزار / سیستم	نوع سیستم	دقت (Precision)	پوشش (Recall)	مزایا	محدودیت‌ها
Project Ire / Microsoft	عامل خودران تحلیل فایل	~۹۰٪	~۲۵٪	ادغام با Defender، دقت بالا، سرویس OK	پوشش محدود، نیاز به ترکیب انسانی
Microsoft Defender ATP + AI	EDR با یادگیری ماشین	بالاتر (حدود ۹۰٪)	بهتر	ادغام کامل در محیط‌مایکروسافت، ابری	کمتر در تحلیل تفصیلی فایل
CrowdStrike Falcon + Charlotte AI	EDR + ابزار AI رفتاری	بسیار بالا	بالا	شکار خودکار تهدید، پاسخ سریع	فقط Endpoint، ادغام محدود با Project Ire
Darktrace Enterprise Immune System	سیستم NDR بیولوژیکی	بالا	بالا	شناسایی رفتار انومالی در کل شبکه	تحلیل فایل ساختاری ندارد
Vectra AI / SentinelOne	تحلیل رفتار شبکه و endpoint	بالا	بالا	تحلیل تهدید داخلی و ابری پیشرفته	مناسب‌تر برای محیط‌های بزرگ و ترکیبی

نکات کلیدی:

Project Ire در تحلیل ساختاریافته بدافزارهای باینری و فایل عملکرد قوی دارد و به عنوان مکمل Defender طراحی شده است.
EDR سنتی با AI مثل Defender، CrowdStrike تمرکز اصلی آن بر داده‌ی رفتار endpoint در شبکه است و کمتر وارد تحلیل بایت‌به‌بایت فایل می‌شود.
Darktrace یا Vectra برای تشخیص تهدیدات رفتاری و ناهنجاری در شبکه عالی‌اند، اما تحلیل پیچیده فایل را انجام نمی‌دهند.

توصیه برای پیاده‌سازی بهینه:

مرحله‌ای ادغام: ابتدا Project Ire را به‌عنوان مرحله دوم تحلیل – بعد از تحلیل ابتدایی فایل توسط Defender – فعال کنید. فایل‌هایی که سطح اعتماد پایین دارند خودکار برای بررسی انسانی ارجاع داده شوند.
ترکیب ابزارها: Project Ire را همراه با EDR پایدار مانند Defender یا CrowdStrike و ابزار رفتار شبکه مانند Darktrace استفاده کنید. ترکیب این سه دسته پوشش تهدیدات را گسترده و دقیق می‌کند.
کنترل کیفیت و بازخورد انسانی: گزارش‌های تولیدشده توسط Project Ire به تحلیل‌گران تحویل شود تا نتایج بازخورد برای بهبود مدل‌ها استفاده گردد.
ایجاد استانداردها و SOPها (روال‌های عملیاتی): خط‌مشی‌هایی برای ردسازی تشخیص نادرست، بررسی خطا و آموزش مدل به‌روز تدوین کنید.

جمع‌بندی

Project Ire ابزار AI خودکار عالی برای تحلیل دقیق و ساختارمند فایل‌های مخرب است، در حالی که هنوز نیاز به مشارکت انسانی دارد به ‌ویژه در مواردی که پوشش تهدید پایین است.
بهترین روش، استفاده ترکیبی از چند ابزار—Project Ire برای تحلیل فایل‌ها، یک EDR مبتنی بر ML برای رفتار endpoint، و یک NDR برای تشخیص رفتار مشکوک شبکه—است تا یک زنجیره دفاعی کامل تشکیل شود.
با وجود توسعه‌های آینده در دقت و پوشش یادگیری مدل، تا زمان بلوغ کامل تکنولوژی، نظارت انسانی همچنان یک ضرورت در فرآیند امنیت سایبری خواهد بود.

خلاصه مقاله: پروژه آیر به‌صورت خودکار بدافزارها را در مقیاس بزرگ شناسایی می‌کند

نکات کلیدی:

معرفی پروژه آیر: یک عامل هوش مصنوعی خودکار که نرم‌افزارها را بدون کمک انسانی تحلیل و طبقه‌بندی می‌کند. این سیستم با مهندسی معکوس کامل فایل‌های نرم‌افزاری، بدافزارها را از نرم‌افزارهای بی‌خطر تشخیص می‌دهد.
عملکرد: در آزمایش‌ها روی درایورهای ویندوز، دقت ۰.۹۸ و فراخوانی ۰.۸۳ داشته و تنها ۲٪ خطای مثبت کاذب. همچنین، اولین سیستمی در مایکروسافت بود که یک پرونده محکومیت برای بدافزار APT ایجاد کرد که توسط Microsoft Defender مسدود شد.
چالش‌های طبقه‌بندی بدافزار: تحلیل دستی بدافزارها زمان‌بر و مستعد خستگی و خطاست. پروژه آیر با خودکارسازی این فرآیند، مقیاس‌پذیری را بهبود می‌بخشد.
فناوری: از مدل‌های زبانی پیشرفته، ابزارهای مهندسی معکوس (مانند angr و Ghidra) و API ابزارها برای تحلیل باینری و بازسازی جریان کنترل استفاده می‌کند. زنجیره شواهد قابل حسابرسی برای شفافیت و بررسی ثانویه تولید می‌کند.
ارزیابی‌ها:
آزمایش اولیه: روی مجموعه داده‌های عمومی، ۹۰٪ فایل‌ها را درست شناسایی کرد.
آزمایش دنیای واقعی: روی ۴۰۰۰ فایل چالش‌برانگیز، دقت ۰.۸۹ و فراخوانی ۰.۲۶ با نرخ خطای کاذب ۴٪.
کاربردها: در Microsoft Defender به‌عنوان تحلیلگر باینری استفاده خواهد شد. هدف، تشخیص بدافزارهای نوظهور در حافظه و در مقیاس بزرگ است.
همکاری: نتیجه همکاری Microsoft Research، Defender Research و Discovery & Quantum با استفاده از ابزارهایی مانند پروژه Freta و همکاری با Emotion Labs.