ディープラーニングは人工知能の技術の1つです。
ディープニューラルネットワークと呼ばれる仕組みは
人間の頭脳の働きからヒントを得ています。
システムに投入するデータを増やせば増やすほど
データの意味を直感的に学習していきます。
学習にあたってはデータの特徴を人間の専門家が
教える必要はありません。
ゼロディ脅威からの防御においてどのようにディープラーニングを活用しているのですか?
ディープラーニングの技術を活用することで、ゼロデイやAPTなど、これまでに見たことのない脅威や未知の脅威を検知し、防止することができるようになります。Deep Instinctのソリューションは、人間の頭脳が学習によって予測能力を獲得する方法に似て、2段階のアプローチに基づいています。
• 学習:学習プロセスは、何億もの悪意のあるファイルと正当なファイルを使ってDeep Instinctの本社で行われます。この学習の結果として出力されるのが予測モデルです。
• 予測:デバイス上にディープラーニングの予測モデル(D-Brain)を搭載すると、デバイス上だけで自律的な分析が行えるようになり、リアルタイムで悪性ファイルを予測し、実行を防ぐことができます。リモートサーバーやサンドボックスアプライアンス上での補足分析を行う必要はありません。
全体の分析と悪質か良性かの判断は、ミリ秒以内にデバイス上で行われ、効果的にゼロタイム検出を可能にします。
どのようにして学習用データセットを収集しているのですか?
学習には何十億ものファイルが使われていますが、その半分は悪意のあるファイル、半分は良性のファイルです。
悪性のデータセットの多くは、さまざまなマルウェアファミリーや、実際の攻撃コードや悪性プログラムを含んでいます。
ファイルデータは以下のソースから収集されています。
• プレミアムリポジトリ:サードパーティの脅威インテリジェンスのマルウェア フィード、有償サービス、マルウェア検体交換など。
• パブリックリポジトリ:オープンソースのリポジトリ、トラッカーなど。
• ダークネット:エクスプロイトキットなどの既知のリードや特定のリードやフォーラムからも、手動で収集・購入された特定の脅威。
• Deep Instinct リサーチ・ラボ:Deep Instinctが開発した独自の内部ツールやサイバーセキュリティ業界で発見されたサードパーティ製のツールを使用して、マルウェアの亜種などを作成するなどして、独自に開発された新しい脅威など。
新しいモデルはどのくらいの頻度でリリースされていますか?
年に2回程度です。
ディープラーニンにより新しいモデルが生成されてリリースされると、クラウド上にある管理コンソールのD-Applianceはそのアップデートを受信し、管理配下にあるすべてのD-Clientsに配信します。これは、1日に数回の更新が必要なAVソリューションや、脅威インテリジェンスのフィードを受信するためにインターネット接続が前提であるEDRソリューションとは異なります。Deep Instinctのソリューションでは、エンドポイント上にあるモデルだけで高い防御を実現しています。また当社のテストによると、仮にモデルを6ヶ月間更新しなかった場合でも、検知率の低下は1%未満と高い防御力はキープしたままでした。
学習データからどのようにして特徴抽出を行っているのですか? どのような特徴をもとに分析・学習しているのですか?
機械学習ベースのソリューションと異なり、ディープラーニングベースのソリューションでは特徴抽出を一切行いません。画像認識の世界ではディープラーニングに画像の生データ(ピクセル)を利用していますが、Deep Instinctもそれと同じようにファイルの生データを直接学習に利用しています。
エージェントを導入した端末上でもディープニューラルネットワークによる学習は行われるのですか?
いいえ、Deep Instinctでは学習の結果として生成されたモデルだけを製品上に実装して、脅威からの防御を実現しています。学習はすべてDeep Instinct社のラボ内だけで行われます。
ディープニューラルネットワークの学習はどのくらいの期間またどこで行われているのですか?
GPUを搭載した高性能サーバーを使用していますが、学習フェーズとしては通常約24~48時間かかります。学習はすべてDeep instinctの研究所で行われており、デバイス上のD-Clientは学習の結果として出力されたモデルだけを搭載しています。
モデルでマルウェアの種類まで予測できるのですか?
はい、ディープラーニングによって生成されたモデルは、Deep Classification モジュールと呼ばれる機能を搭載しており、検知したマルウェアを現状ではランサムウェア、ワーム、ウイルス、ドロッパー、スパイウェア、バックドア、PUAの7つのカテゴリのいずれかに自動的に分類して表示します。
ディープラーニングで作られたモデルは静的分析と動的分析のどちらを使うのですか?
ディープラーニングのモデルによる予測は、現在エンドポイントでの静的分析のみに適用されています。Deep Instinctでは動的分析にも活用できるよう開発を進めています。D-Clientにはモデルによる検知以外に、振る舞いによる動的検知機能を搭載していますし、また検出または防止されたすべての悪性ファイルに対しては、クラウド管理サーバであるD-Applianceにアップロードすることで動的解析レポートなど追加のフォレンジック情報を提供しています(オプション、ポリシーで選択可能)。
機械学習と何が違うの?