ディープ
ラーニング

ディープラーニングの技術を活用することで、ゼロデイやAPTなど、これまでに見たことのない脅威や未知の脅威を検知し、防止することができるようになります。Deep Instinctのソリューションは、人間の頭脳が学習によって予測能力を獲得する方法に似て、2段階のアプローチに基づいています。

• 学習：学習プロセスは、何億もの悪意のあるファイルと正当なファイルを使ってDeep Instinctの本社で行われます。この学習の結果として出力されるのが予測モデルです。

• 予測：デバイス上にディープラーニングの予測モデル（D-Brain）を搭載すると、デバイス上だけで自律的な分析が行えるようになり、リアルタイムで悪性ファイルを予測し、実行を防ぐことができます。リモートサーバーやサンドボックスアプライアンス上での補足分析を行う必要はありません。

全体の分析と悪質か良性かの判断は、ミリ秒以内にデバイス上で行われ、効果的にゼロタイム検出を可能にします。

学習には何十億ものファイルが使われていますが、その半分は悪意のあるファイル、半分は良性のファイルです。

悪性のデータセットの多くは、さまざまなマルウェアファミリーや、実際の攻撃コードや悪性プログラムを含んでいます。

ファイルデータは以下のソースから収集されています。
• プレミアムリポジトリ：サードパーティの脅威インテリジェンスのマルウェア フィード、有償サービス、マルウェア検体交換など。
• パブリックリポジトリ：オープンソースのリポジトリ、トラッカーなど。
• ダークネット：エクスプロイトキットなどの既知のリードや特定のリードやフォーラムからも、手動で収集・購入された特定の脅威。
• Deep Instinct リサーチ・ラボ：Deep Instinctが開発した独自の内部ツールやサイバーセキュリティ業界で発見されたサードパーティ製のツールを使用して、マルウェアの亜種などを作成するなどして、独自に開発された新しい脅威など。

年に2回程度です。

ディープラーニンにより新しいモデルが生成されてリリースされると、クラウド上にある管理コンソールのD-Applianceはそのアップデートを受信し、管理配下にあるすべてのD-Clientsに配信します。これは、1日に数回の更新が必要なAVソリューションや、脅威インテリジェンスのフィードを受信するためにインターネット接続が前提であるEDRソリューションとは異なります。Deep Instinctのソリューションでは、エンドポイント上にあるモデルだけで高い防御を実現しています。また当社のテストによると、仮にモデルを6ヶ月間更新しなかった場合でも、検知率の低下は1%未満と高い防御力はキープしたままでした。

機械学習ベースのソリューションと異なり、ディープラーニングベースのソリューションでは特徴抽出を一切行いません。画像認識の世界ではディープラーニングに画像の生データ（ピクセル）を利用していますが、Deep Instinctもそれと同じようにファイルの生データを直接学習に利用しています。

いいえ、Deep Instinctでは学習の結果として生成されたモデルだけを製品上に実装して、脅威からの防御を実現しています。学習はすべてDeep Instinct社のラボ内だけで行われます。

GPUを搭載した高性能サーバーを使用していますが、学習フェーズとしては通常約24～48時間かかります。学習はすべてDeep instinctの研究所で行われており、デバイス上のD-Clientは学習の結果として出力されたモデルだけを搭載しています。

はい、ディープラーニングによって生成されたモデルは、Deep Classification モジュールと呼ばれる機能を搭載しており、検知したマルウェアを現状ではランサムウェア、ワーム、ウイルス、ドロッパー、スパイウェア、バックドア、PUAの7つのカテゴリのいずれかに自動的に分類して表示します。

ディープラーニングのモデルによる予測は、現在エンドポイントでの静的分析のみに適用されています。Deep Instinctでは動的分析にも活用できるよう開発を進めています。D-Clientにはモデルによる検知以外に、振る舞いによる動的検知機能を搭載していますし、また検出または防止されたすべての悪性ファイルに対しては、クラウド管理サーバであるD-Applianceにアップロードすることで動的解析レポートなど追加のフォレンジック情報を提供しています（オプション、ポリシーで選択可能）。