PRESS RELEASE (技術)
2017年9月19日
株式会社富士通研究所
マルウェア侵入の検知を高精度化するAI技術を開発
日常業務で使われているネットワーク通信と区別が難しい侵入後のマルウェア活動の検知精度を向上
株式会社富士通研究所(注1)(以下、富士通研究所)は、グラフ構造のデータを学習できる独自のAI技術「Deep Tensor(ディープ テンソル)(注2)」を拡張し、企業などの組織内ネットワークへのマルウェア侵入の検知を高精度化するAI技術を開発しました。
近年、サイバー攻撃の手法が巧妙化しており、特に標的型攻撃では専用のマルウェアを使用して侵入してくるため、侵入された後の対策を講じることが重要となってきています。しかし、侵入したマルウェアは、時間とともにその攻撃の手段や頻度、範囲などが変化し、さらに日常業務のネットワーク通信と混在して活動するため、これを検知するためにはマルウェアの様々な挙動を複合的に捉える必要があります。
今回、時系列ログデータに含まれる様々な特徴と、その特徴間の関係を学習する技術を開発しました。本技術によって、組織内に侵入したマルウェアの複数の行動の種類や数、さらにその間隔や順番などの関係性を学習し、マルウェアの特徴を捉えることに成功しました。
本技術について、「MWS2017(注3)」から提供されているデータを用いて、日常業務のネットワーク通信とマルウェアの攻撃を判別する試験を行ったところ、時間的に変化する複数の痕跡を学習できたことによって93%の精度で検知できることを確認しました。
本技術は、2017年度中に、人の行動履歴を用いたマーケティングなどサイバーセキュリティ以外の分野に向けて、富士通株式会社(注4)(以下、富士通)のAI技術「FUJITSU Human Centric AI Zinrai(ジンライ)(以下、Zinrai)」の技術として製品化を目指します。
また、本技術を応用したマルウェア侵入検知技術は、これまで開発してきたサイバー攻撃の分析技術と組み合わせた対策支援技術として、2018年度に社内での実証を進めます。
本技術の詳細は、10月23日(月曜日)から10月25日(水曜日)まで山形市で開催される「マルウェア対策研究人材育成ワークショップ 2017(MWS2017)」にて発表します。
開発の背景
サイバー攻撃において、日々膨大な種類の新種・亜種のマルウェアが出現し、その被害は増加の一途をたどっており、サイバー攻撃対策の高度化が喫緊の課題となっています。近年のサイバー攻撃はその手法が巧妙化しており、従来のように組織内ネットワークの入り口での対策や端末のウイルス対策だけでは防ぐことが難しくなってきました。特に標的型攻撃では、特定の企業にターゲットを絞った専用のマルウェアが使用されるため、組織内への侵入を完全に防止することは難しく、侵入された後の対策を講じることが重要になっています。侵入後の対策には、サイバーセキュリティに関する高いスキルを持つ人材が必要ですが、増加するサイバー攻撃に対してセキュリティ人材が不足しているため、自動化やAIによるサポートが望まれています。
課題
組織内ネットワークに侵入したマルウェアは、日常業務で使われるネットワーク通信やコマンド操作を悪用して、周辺情報の収集、ほかのPCへの侵入の試行、感染拡大など動作を変えながら侵攻します。そのため、日常業務とマルウェアの挙動によるネットワーク通信の特徴の差が小さく、高精度な学習が困難でした。
開発した技術
今回、富士通研究所が開発したグラフ構造のデータを学習し分類できるDeep Tensor技術を時系列の特徴を学習できるように拡張し、高精度な侵入検知を実現するAI技術を開発しました。
時系列ログデータに含まれる様々な特徴について、AとBが前後したり、AとBが同時に発生するといった特徴間の関係を学習する技術を開発することによって、組織内に侵入したマルウェアの複数の行動の種類や数、さらにその間隔や順番などの関係性を学習し、マルウェアの特徴を捉えることに成功しました。技術の詳細は以下の通りです。
- 時系列ログデータに含まれる特徴間の関係を学習する技術
Deep Tensor技術では、グラフ構造のデータからテンソルと呼ばれる数学表現への変換方法の学習とDeep Learningの学習を同時に行うことで、グラフ構造データの高精度な学習を可能にしています。本技術では、テンソル表現を複数用意し、異なる時間などに記録されたログ上の特徴を学習し、さらに特徴(テンソル表現)間の関係もDeep Learningで学習することにより、時系列ログデータの中の関係性の高い特徴群を抽出して、判別が可能になります。
図1 今回開発した技術
拡大イメージ
また、テンソル表現の増加に対応して、テンソルの計算処理について、高速化する技術と並列分散処理化する技術も併せて開発しました。本技術では、数十のテンソル表現を用いた場合でも1つのテンソル表現を学習する時間で処理が可能です。
効果
今回開発した技術を用いることで、時間とともにその攻撃の手段や頻度、範囲などが変化し、さらに日常業務のネットワーク通信と混在して活動するマルウェアの侵入検知が可能になりました。「MWS2017」より提供されている研究用データセットを用いて、日常業務のネットワーク通信とマルウェアの攻撃を判別する試験を行ったところ、既存の機械学習手法(注5)が76%の精度であったのに対して、本技術では時間的に変化する複数の痕跡を学習できたことによって93%の精度で検知できることを確認しました。
本技術により、巧妙化し変化し続けるサイバー攻撃に対して、継続的に成長し、迅速に対応できる手段を実現します。
今後
本技術は、2017年度中に、人の行動履歴を用いたマーケティングなどサイバーセキュリティ以外の分野に向けて、Zinraiの技術として製品化を目指します。
また、本技術を応用したマルウェア侵入検知技術は、これまで開発してきたサイバー攻撃の分析技術と組み合わせた対策支援技術として、2018年度に社内での実証を進めます。
商標について
記載されている製品名などの固有名詞は、各社の商標または登録商標です。
以上
注釈
- 注1 株式会社富士通研究所:
- 本社 神奈川県川崎市、代表取締役社長 佐々木繁。
- 注2 富士通研究所が開発したAI技術「Deep Tensor」:
- 人やモノのつながりを表すグラフ構造のデータから新たな知見を導く新技術「Deep Tensor」を開発
- 注3 MWS2017:
- マルウェア対策研究人材育成ワークショップ2017
- 注4 富士通株式会社:
- 本社 東京都港区、代表取締役社長 田中達也。
- 注5 既存の機械学習手法:
- SVM(Support Vector Machine)と呼ばれるグラフ同士の類似度を判定する際に一般的に使われる手法。
本件に関するお問い合わせ
株式会社富士通研究所
人工知能研究所
044-754-2674(直通)
contact_dt@ml.labs.fujitsu.com
プレスリリースに記載された製品の価格、仕様、サービス内容、お問い合わせ先などは、発表日現在のものです。その後予告なしに変更されることがあります。あらかじめご了承ください。
