8月6日,微软正式发布了具备自主分析恶意软件能力的人工智能检测系统原型——Project Ire。
这一项目由微软研究院、Defender研究团队及Discovery & Quantum部门共同打造,融合了安全领域的专业洞察、运营经验、全球恶意软件数据与前沿人工智能技术,未来计划作为二进制分析模块集成至Microsoft Defender安全平台。
微软方面指出,Microsoft Defender系统每月对超过十亿台活跃设备进行扫描,其终极目标是实现“首次接触即可精准识别”,并构建具备内存级别检测能力的新型恶意软件防御体系。
Project Ire首次实现了无需人工介入即可完成软件逆向分析与恶意性判断的功能,在Windows环境测试中展现出98%的判断准确率,标志着网络安全检测技术迈入全新阶段。
微软进一步说明,该技术是微软内部首个针对高级持续性威胁恶意软件样本,能够生成“阻断级判定”的逆向分析系统——无论是人类专家还是机器系统均属首次实现。
核心技术实现原理
Project Ire基于GraphRAG与Microsoft Discovery协同框架构建,采用先进的大语言模型及专业逆向工程工具集,整合了反编译器、二进制分析工具与Project Freta内存沙盒,通过分层分析机制实现软件行为判定:
- 初始阶段:自动化工具识别文件类型与关键代码区域
- 核心分析:调用angr/Ghidra框架重建程序控制流图谱
- 函数级验证:通过API调用分析生成完整的证据链条
- 最终裁决:经过交叉验证后输出恶意/良性分类报告
实际性能测试表现
在公开Windows驱动程序数据集测试中:
- 整体识别准确率达到90%
- 恶意样本识别精度高达98%
- 良性文件误判率仅为2%
- 恶意样本召回率达到83%
在真实环境测试中(包含近4000个未分类的“硬目标”文件):
- 恶意样本识别精度为89%
- 召回率维持在26%
- 误报率控制在4%
