Automatisches Generieren von YARA-Regeln Sophos stellt Machine-Learning-Toolkit für Bedrohungserkennung bereit

Von Martin Hensel

Anbieter zum Thema

Das SophosAI-Team stellt weitere KI-Ressourcen in den Dienst der Open-Source-Community. Diesmal handelt es sich um ein Machine-Learning-Toolkit zum automatischen Generieren von Regeln für das Klassifizierungsprogramm YARA.

Sophos stellt sein Tool YaraML quelloffen zur Verfügung.
Sophos stellt sein Tool YaraML quelloffen zur Verfügung.
(Bild: Darwin Laganzon / Pixabay)

Das Tool namens YaraML von Sophos soll bei der Erkennung bestimmter Arten von Bedrohungen helfen. Bei YARA handelt es sich um ein von VirusTotal verwaltetes, plattformübergreifendes Open-Source-Tool zum Aufspüren und Klassifizieren von Malware. Regeln für YARA lassen sich manuell erstellen, was aber mit hohem Zeitaufwand verbunden sein kann. YARA kommt vor allem bei Sicherheitsforschern und Analysten zum Einsatz und ermöglicht neben dem Auffinden von Schadsoftware auch die Suche nach binären oder textbasierten Mustern in beliebigen Dateien und Prozessen.

Schnellere Arbeit dank Machine Learning

Um den Zeitaufwand zu reduzieren, hat SophosAI YARA mit maschinellem Lernen kombiniert. Das YaraML-Tool wurde als Open Source unter Apache 2.0 veröffentlicht. Es richtet sich vor allem an Incident-Response- und Malware-Forscher. Sie können über das Tool gebrauchsfertige YARA-Regeln bereitstellen, die aus einem Datensatz mit als bösartig oder gutartig gekennzeichneten Daten generiert werden. YaraML analysiert derartige Datensätze und extrahiert daraus Muster, die sich zur Identifizierung von Malware eignen.

SophosAI-Teamchef Joshua Saxe hat das Tool so entwickelt, dass es ohne vorherige Erfahrung im Bereich Machine Learning genutzt werden kann. Dennoch ermöglicht es fortgeschrittenen Benutzern das Festlegen individueller Parameter. Ausführliche Details rund um das YaraML-Tool hält Sophos in einem Blog-Eintrag bereit.

Der Sicherheitsspezialist unterstreicht mit der Veröffentlichung erneut seine Open-Source-Offensive, die herstellerübergreifend Innovationen im Bereich IT-Security fördern soll. Bereits Ende vergangenen Jahres hatte Sophos vier KI-Entwicklungen quelloffen bereitgestellt, um den Schutz vor Cyberangriffen branchenweit zu unterstützen.

(ID:48550212)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Big Data, Analytics & AI

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung