マルウェアの攻撃を93%判別、侵入検知を高精度化するAI技術 富士通から

富士通研究所は、マルウェア侵入の検知を高精度化するAI技術を開発した。日常業務で使われるネットワーク通信と区別が難しいマルウェア活動を高精度に検知する。

» 2017年09月20日 11時50分 公開
[金澤雅子ITmedia]

 富士通研究所は、企業などの組織内ネットワークに侵入したマルウェアの検知を高精度化するAI技術を開発した。グラフ構造のデータを学習できる独自のAI技術「Deep Tensor(ディープ テンソル)」を拡張し、日常業務で使われるネットワーク通信との区別が難しいマルウェアの活動を検知する。

 標的型攻撃では、特定の企業にターゲットを絞った専用のマルウェアが使用されるため、組織内ネットワークへの侵入を完全に阻止することは難しく、侵入後の対策が重要であるが、侵入したマルウェアは、日常業務で使われるネットワーク通信やコマンド操作を悪用し、周辺情報の収集、他のPCへの侵入の試行、感染拡大などと動作を変えながら侵攻する。

 そのため、日常業務のネットワーク通信とマルウェアによるネットワーク通信の差が小さく、検知するにはマルウェアのさまざまな挙動を複合的に捉える必要があるが、高精度な学習は困難だった。

 新技術では、グラフの構造を学習して分類できるDeep Tensor技術を時系列の特徴を学習できるように拡張。時系列ログデータに含まれるさまざまな特徴について、AとBが前後する、AとBが同時に発生するといった「特徴間の関係を学習する技術」を開発。これにより、組織内に侵入したマルウェアの行動の種類や数、その間隔や順番などの関係性を学習し、マルウェアの特徴を捉える。

 Deep Tensor技術では、グラフ構造のデータから「テンソル」と呼ばれる数学表現への変換方法の学習とディープラーニングを同時に行い、グラフ構造データの高精度な学習を可能にしている。新技術では、テンソル表現を複数用意し、異なる時間などに記録されたログ上の特徴を学習し、さらに特徴(テンソル表現)間の関係もディープラーニングで学習することにより、時系列ログデータの中の関係性の高い特徴群を抽出して、判別が可能になる。

Photo 今回開発した技術。グラフ構造のデータを学習し、複数のテンソル表現を用いて時系列ログの特徴や特徴間の関係を学習する

 この技術を使い、MWS2017(マルウェア対策研究人材育成ワークショップ 2017)から提供されたデータを用いて、日常業務のネットワーク通信とマルウェアの攻撃を判別する試験を行ったところ、時間的に変化する複数の形跡を学習でき、93%の精度で検知できることを確認したという。既存の機械学習での精度は76%だった。

 富士通では、この技術をAI技術群「FUJITSU Human Centric AI Zinrai」の1つに位置付け、人の行動履歴を用いたマーケティングなど、サイバーセキュリティ以外の分野に向けて、2017年度中の製品化を目指す。また、この技術を応用したマルウェアの侵入検知技術は、これまでに開発してきたサイバー攻撃の分析技術と組み合わせた対策支援技術として、2018年度に実証実験を進める予定としている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ