PR

マルウエアの異常な振る舞いを検出

 セキュリティソフトを開発するFFRIは「振る舞い検出型」のセキュリティツールの開発に、機械学習を適用しようとしている(図9)。振る舞い検出型とは、コンピュータ上でのソフトウエアの行動(振る舞い)を基に、マルウエア(悪意のあるソフトウエア)かどうかを検出するツールだ。

図9●FFRIが開発したマルウエアの検出技術
図9●FFRIが開発したマルウエアの検出技術
APIの呼び出しパターンからマルウエアを判定
[画像のクリックで拡大表示]

 FFRIの社内には、技術者が専門知識を基に見つけ出したマルウエアのサンプルが2000件以上収集してある。マルウエアと正常なソフトを検証用コンピュータで動かして、ソフトによるOSのAPI(アプリケーション・プログラミング・インターフェース)の呼び出しを記録する。

 APIの呼び出しログを機械学習すると、マルウエアが呼び出すAPIのパターン、つまりマルウエアのOS上での「異常な振る舞い」をモデル化できる。このモデルを基に未知のソフトの振る舞いをチェックすることで、そのソフトがマルウエアかどうかを判別する。

 同社ではこれまで、マルウエアの振る舞いを技術者が手作業でモデル化していた。このため、技術者によって振る舞い評価にばらつきがあった。機械学習を採用することで、振る舞い検出の精度を均質化できる見込みだ