Deep Instinct is revolutionizing cybersecurity with its unique Deep learning Software – harnessing the power of deep learning architecture and yielding unprecedented prediction models, designed to face next generation cyber threats.

ディープ
ラーニング

ディープラーニングは人工知能の技術の1つです。
ディープニューラルネットワークと呼ばれる仕組みは
人間の頭脳の働きからヒントを得ています。

システムに投入するデータを増やせば増やすほど
データの意味を直感的に学習していきます。
学習にあたってはデータの特徴を人間の専門家が
教える必要はありません。

1
準備

データサイエンティストはディープニューラルネットワークの学習に使用するデータを準備します。これらのデータサンプルには、悪意のものから良性のものまで、また亜種・スクリプト・マクロなどを含む何百万ものラベル付きファイルが含まれています。

2
学習

自己学習と呼ばれるプロセスの中で、ディープニューラルネットワークはファイル内の利用可能なすべての「生データ」をみることで、そこから悪意のあるコードを本能的に識別する方法を学習します。GPU(グラフィック・プロセッシング・ユニット)の採用により、この学習フェーズに必要となる時間は劇的に短縮されました。トレーニングは数ヶ月ではなく、24~48時間以内で行われます。

3
検知

学習が進むにつれて、ファイル内に存在する”DNA”とも呼べるような特徴を捉えることができるようになりマルウェアかどうかを識別できるようになります。

4
予測

ここまでくるとディープニューラルネットワークはファイルが脅威であるかどうかを迅速かつ効率的に予測できるようになります。ここで生成されたアルゴリズムはモデルと呼ばれ、あらゆる種類のファイルの検査に適用することができます。

5
エージェントへの搭載

この段階では、軽量で強力なエージェント用モデルに圧縮します。テラバイトのデータの洞察から得られた予測能力をメガバイトレベルのモデルに変えます。

6
エージェントの導入

作成されたモデルを搭載したエージェントは、エンドポイントやサーバ、あるいはモバイルデバイスであっても、どのようなデバイスにも組み込んで利用できます。

7
エージェントによる防御

導入されたエージェントは実行前にすべてのファイル、スクリプト、マクロなどをチェックします。このプロセスは非常に高速(ミリ秒未満)で、ユーザー体験やシステムパフォーマンスに目立った影響を与えません。

8
完全な予防の実現

エージェントは、既知マルウェアであっても、未知やAPTの脅威であっても、あらゆる種類のマルウェアを事前に検出し、防止します。つまり、良性のファイルは利用できますが、悪意のあるファイルは利用する前にブロックされます。

ビデオを見る

ビデオを見る

よくある質問(FAQ)
Q

ゼロディ脅威からの防御においてどのようにディープラーニングを活用しているのですか?

A

ディープラーニングの技術を活用することで、ゼロデイやAPTなど、これまでに見たことのない脅威や未知の脅威を検知し、防止することができるようになります。Deep Instinctのソリューションは、人間の頭脳が学習によって予測能力を獲得する方法に似て、2段階のアプローチに基づいています。

• 学習:学習プロセスは、何億もの悪意のあるファイルと正当なファイルを使ってDeep Instinctの本社で行われます。この学習の結果として出力されるのが予測モデルです。

• 予測:デバイス上にディープラーニングの予測モデル(D-Brain)を搭載すると、デバイス上だけで自律的な分析が行えるようになり、リアルタイムで悪性ファイルを予測し、実行を防ぐことができます。リモートサーバーやサンドボックスアプライアンス上での補足分析を行う必要はありません。

全体の分析と悪質か良性かの判断は、ミリ秒以内にデバイス上で行われ、効果的にゼロタイム検出を可能にします。

Q

どのようにして学習用データセットを収集しているのですか?

A

学習には何十億ものファイルが使われていますが、その半分は悪意のあるファイル、半分は良性のファイルです。

悪性のデータセットの多くは、さまざまなマルウェアファミリーや、実際の攻撃コードや悪性プログラムを含んでいます。

ファイルデータは以下のソースから収集されています。
• プレミアムリポジトリ:サードパーティの脅威インテリジェンスのマルウェア フィード、有償サービス、マルウェア検体交換など。
• パブリックリポジトリ:オープンソースのリポジトリ、トラッカーなど。
• ダークネット:エクスプロイトキットなどの既知のリードや特定のリードやフォーラムからも、手動で収集・購入された特定の脅威。
• Deep Instinct リサーチ・ラボ:Deep Instinctが開発した独自の内部ツールやサイバーセキュリティ業界で発見されたサードパーティ製のツールを使用して、マルウェアの亜種などを作成するなどして、独自に開発された新しい脅威など。

Q

新しいモデルはどのくらいの頻度でリリースされていますか?

A

年に2回程度です。

ディープラーニンにより新しいモデルが生成されてリリースされると、クラウド上にある管理コンソールのD-Applianceはそのアップデートを受信し、管理配下にあるすべてのD-Clientsに配信します。これは、1日に数回の更新が必要なAVソリューションや、脅威インテリジェンスのフィードを受信するためにインターネット接続が前提であるEDRソリューションとは異なります。Deep Instinctのソリューションでは、エンドポイント上にあるモデルだけで高い防御を実現しています。また当社のテストによると、仮にモデルを6ヶ月間更新しなかった場合でも、検知率の低下は1%未満と高い防御力はキープしたままでした。

Q

学習データからどのようにして特徴抽出を行っているのですか? どのような特徴をもとに分析・学習しているのですか?

A

機械学習ベースのソリューションと異なり、ディープラーニングベースのソリューションでは特徴抽出を一切行いません。画像認識の世界ではディープラーニングに画像の生データ(ピクセル)を利用していますが、Deep Instinctもそれと同じようにファイルの生データを直接学習に利用しています。

Q

エージェントを導入した端末上でもディープニューラルネットワークによる学習は行われるのですか?

A

いいえ、Deep Instinctでは学習の結果として生成されたモデルだけを製品上に実装して、脅威からの防御を実現しています。学習はすべてDeep Instinct社のラボ内だけで行われます。

Q

ディープニューラルネットワークの学習はどのくらいの期間またどこで行われているのですか?

A

GPUを搭載した高性能サーバーを使用していますが、学習フェーズとしては通常約24~48時間かかります。学習はすべてDeep instinctの研究所で行われており、デバイス上のD-Clientは学習の結果として出力されたモデルだけを搭載しています。

Q

モデルでマルウェアの種類まで予測できるのですか?

A

はい、ディープラーニングによって生成されたモデルは、Deep Classification モジュールと呼ばれる機能を搭載しており、検知したマルウェアを現状ではランサムウェア、ワーム、ウイルス、ドロッパー、スパイウェア、バックドア、PUAの7つのカテゴリのいずれかに自動的に分類して表示します。

Q

ディープラーニングで作られたモデルは静的分析と動的分析のどちらを使うのですか?

A

ディープラーニングのモデルによる予測は、現在エンドポイントでの静的分析のみに適用されています。Deep Instinctでは動的分析にも活用できるよう開発を進めています。D-Clientにはモデルによる検知以外に、振る舞いによる動的検知機能を搭載していますし、また検出または防止されたすべての悪性ファイルに対しては、クラウド管理サーバであるD-Applianceにアップロードすることで動的解析レポートなど追加のフォレンジック情報を提供しています(オプション、ポリシーで選択可能)。

機械学習と何が違うの?