當(dāng)?shù)貢r(shí)間周二，微軟宣布推出可自主分析惡意軟件的 AI 檢測(cè)系統(tǒng)原型 ——Project Ire。

該項(xiàng)目由微軟研究院、Defender 研究團(tuán)隊(duì)及 Discovery & Quantum 部門聯(lián)合開發(fā)，整合了安全專業(yè)知識(shí)、運(yùn)營(yíng)知識(shí)、全球惡意軟件遙測(cè)數(shù)據(jù)與最新 AI 技術(shù)，計(jì)劃作為二進(jìn)制分析器集成到 Microsoft Defender 中。

微軟介紹稱，Microsoft Defender 系統(tǒng)每月掃描超 10 億臺(tái)活躍設(shè)備，其最終目標(biāo)是實(shí)現(xiàn)“首次接觸即精準(zhǔn)分類”，并建立大規(guī)模內(nèi)存級(jí)新型惡意軟件檢測(cè)能力。

Project Ire 首次實(shí)現(xiàn)無需人工干預(yù)即可完成軟件逆向工程與惡意判斷分類，在 Windows 測(cè)試中展現(xiàn)出 98% 精確度，標(biāo)志著網(wǎng)絡(luò)安全檢測(cè)技術(shù)的突破性進(jìn)展。

微軟表示，它是微軟公司內(nèi)部（無論是人類還是機(jī)器）首個(gè)針對(duì)特定高級(jí)持續(xù)性威脅（APT）惡意軟件樣本生成“阻斷級(jí)判定”的逆向工程師。

核心技術(shù)原理

Project Ire 基于 GraphRAG 與 Microsoft Discovery 的協(xié)作框架構(gòu)建，采用先進(jìn) AI 大語(yǔ)言模型及逆向工程工具套件，集成反編譯器、二進(jìn)制分析工具及 Project Freta 內(nèi)存沙盒，通過多層級(jí)分析實(shí)現(xiàn)軟件行為判定：

• 初始階段：自動(dòng)化工具識(shí)別文件類型與關(guān)鍵區(qū)域

• 核心分析：調(diào)用 angr / Ghidra 框架重建控制流圖譜

• 函數(shù)級(jí)驗(yàn)證：通過 API 調(diào)用工具生成“證據(jù)鏈”

• 最終裁決：交叉驗(yàn)證后輸出惡意 / 良性分類報(bào)告

性能測(cè)試數(shù)據(jù)

在公開 Windows 驅(qū)動(dòng)程序數(shù)據(jù)集測(cè)試中：

• 整體識(shí)別準(zhǔn)確率 90%

• 惡意樣本識(shí)別精度（precision）98%

• 良性文件誤報(bào)率僅 2%

• 惡意樣本召回率（recall）83%

在真實(shí)環(huán)境測(cè)試中（含近 4000 個(gè)未分類“硬目標(biāo)”文件）：

• 惡意樣本識(shí)別精度 89%

• 召回率 26%

• 誤報(bào)率 4%