ディープラーニングAIを使用してマルウェアやAPTを検出し、防止する方法

[[163896]]

[51CTO.com クイック翻訳] Deep Instinct は、最大 98.8% のリアルタイム APT 検出精度を達成できると主張する新しいソリューションをリリースしました。

AV-TEST 協会が発表した調査結果によると、毎日出現する新しいマルウェアの数は 39 万個に上り、シマンテックが出した結果はさらに衝撃的で、毎日出現する新しいマルウェアの数は 100 万個に上ります。そして、このマルウェアは、実際の悪意のある活動にはまだ現れていないことがよくあります。

最低レベルで計算しただけでも、現在の治安状況は依然としてかなり深刻です。特に、ウイルスやマルウェアの最も高度な亜種であり、現在主流のサイバーセキュリティ技術のほとんどを無効にする可能性がある、高度な持続的脅威 (APT) のレベルを考慮すると、これは重要です。セキュリティ専門家でさえ、企業は攻撃が「成功するかどうか」という従来の問いを「いつ成功するか」という問いに適応させる必要があると強調している。

過去数年間で、さまざまな種類のマルウェア検出技術が登場してきました。当初、検出はシグネチャを通じて行われ、未知のコード スニペットが既知のマルウェアと比較されていました。しかし、マルウェアの数は毎日数十万、あるいは数百万単位で増加しているため、この受動的なアプローチは明らかに適用できなくなっています。

次の進化の方向は、コードの動作特性に基づいてマルウェアを識別するヒューリスティック検出です。つまり、コードの実行中に発生した疑わしい動作はすべて記録されます。これを踏まえると、サンドボックス技術の介入は当然のことです。この仮想環境を利用して未知のコードを実行し、悪意の疑いがあるかどうかを隔離した状態で観察する必要があります。

最近、機械学習のメカニズムがマルウェア検出の分野に導入され始めています。このテクノロジーは、複雑なアルゴリズムを使用してファイルを処理し、ファイルから手動で抽出された一連の要素に基づいてファイルを悪意のあるものと無害なものに分類します。機械は、どのパラメータ、変数、さらには機能が安全上のリスクをもたらす可能性があるかを人間の視点から判断する必要があります。通常、機械学習ベースのサイバーセキュリティ ソリューションは疑わしい状況の初期スクリーニングを担当し、最終的な処理は人間のアナリストが引き継ぎます。

そして今、その進化の次のステップが到来しました。Deep Instinct は、市場初のディープラーニングベースのサイバーセキュリティ ソリューションを構築したと主張しています。ディープラーニングは、人間の脳の学習に似たプロセスを使用して物事を理解する高度な人工知能の実装です。ディープラーニングは、特にゼロデイマルウェア、新しいマルウェア、高度に洗練された APT の検出において、ネットワーク セキュリティに大きな影響を与えます。

機械が悪意のあるコードの特性を認識すると、優れた精度とリアルタイム処理能力により、未知のコードがマルウェアであるかどうかを判断できます。では、機械はどのようにしてマルウェアの識別を学習するのでしょうか?その学習プロセスは人間のそれと非常に似ています。子供を公園に散歩に連れて行き、犬がどんなものであるべきかを教えることを考えてみましょう。遊んでいる間、私たちは彼にさまざまなタイプの犬を絶えず指摘し、このトレーニングを通じて彼がこの概念を学ぶのを助けました。犬の具体的な定義を説明する必要はありませんが、代わりにさまざまな例を繰り返し示します。しばらくすると、子供は今まで見たことのない動物を「犬」として正しく識別できるようになります。そして、犬の絵を見せれば、どの動物が描かれているかを簡単に見分けることができるでしょう。さらに、ピクセルの 20% を削除しても、写真に写っている犬を一目で認識できます。

Deep Instinct はこのアプローチを使用して、コア エンジンが悪意のあるコードを識別する方法を学習できるようにします。同社は、Word 文書、PDF ファイル、実行可能ファイルなど、数億種類のマルウェアを収集していますが、ディープラーニングは未知のデータ タイプを対象としているため、ファイルの種類は関係ありません。 Deep Instinct の科学者はこれらのファイルをテストにかけて、悪意のあるものか正当なものかを分類します。その後、彼らはこの膨大なデータセットを使ってエンジンをトレーニングし、最終的にこの人工脳はいわゆる予測モデルを構築することができました。この段階では、コア エンジンは子供と同様の認知的アプローチをとることになります。つまり、マルウェアを見たことがないにもかかわらず、手持ちの手がかりに基づいてマルウェアが危害を及ぼす可能性があるかどうかを推測できるのです。

Deep Instinct は予測モデルを小さなプローブのセットにパッケージ化します。プローブは、PC、ラップトップ、タブレット、スマートフォン、さらにはサーバーなど、あらゆるオペレーティング システムを実行するあらゆる種類のデバイスに展開できます。デバイス上でファイルが開かれたりダウンロードされたりすると、プローブはファイルを小さな部分に分割し、それらに対して予測モデルを実行します。このいわゆる「本能」メカニズムは、トレーニング結果を使用して、悪意のある要素が含まれているかどうかを検出します。これらすべては 5 ミリ秒以内に達成できます。デバイス上のプロセス全体はリアルタイムで完了し、悪意のあるコードが損害を引き起こす前に、削除、ブロック、または企業が要求する対応するアクションを実行する決定が下されます。さらに重要なのは、ユーザーエクスペリエンスにまったく影響がないことです。

プローブには未知のファイルの分析を実行するために必要なものがすべて揃っているため、企業ネットワークやインターネット接続を使用する必要さえありません。具体的には、オンライン モードとオフライン モードの両方でデバイス保護を実現できます。たとえば、作業者は飛行機に座っているときに機内モードを使用して安全保護を実現できます。感染した USB ドライブを挿入すると、デバイスのプローブが USB ドライブ内のファイルを分析し、デバイスにさらなる感染を引き起こす可能性のあるマルウェアを検出します。

Deep Instinct は、デバイス自体を介さずに、保護を強化した予測モデルを純粋に活用する、プローブレス バージョンのソリューションも提供しています。同社はまた、APIまたはSDKを通じてあらゆるタイプのゲートウェイにアクセスできるとも述べた。たとえば、Deep Instinct のモデルを FireLayer のクラウド アクセス セキュリティ ブローカーと統合して、クラウド ファイルやアプリケーションを標的とするマルウェアの検出と脅威の防止を実装できます。

Deep Instinct は、より多くの新しいタイプのマルウェアを識別できるように、ベースエンジンのトレーニングを続けています。その「本能」メカニズムは継続的に更新されていますが、デバイスのプローブは数か月間更新されておらず、依然として非常に優れた判断精度を提供できます。 Deep Instinct は、4 か月間更新が行われなくても、プローブのマルウェア検出精度は 0.5% ～ 1% しか低下しないと指摘しました。

ドレービン大学とシーメンス CERT が実施したベンチマーク テストでは、Deep Instinct のソリューションが市場のどのトップ セキュリティ ソリューションにも匹敵することが示されました。モバイルマルウェアを特定しようとする場合、市場上位 10 社のセキュリティベンダーの平均精度は 61.5% ですが、Deep Instinct の精度は 99.86% にも達します。 16,000 個の APT を対象とした別のテストでは、Deep Instinct のマルウェア識別率は 98.8% に達しました。

具体的な実装プロセスには、デバイスへのプローブのインストール、ポリシー管理を実装するためにネットワーク内に対応するデバイスのインストール、ダッシュボードとレポート メカニズムの提供が含まれます。同社は、既存のデータセットを使用して潜在顧客に概念実証ソリューションを提供すると述べており、企業顧客は製品を既存のサイバーセキュリティツールと直接比較できるようになるという。

オリジナルリンク: ディープラーニング AI を使用してマルウェアや APT を検出し、防止する方法

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください]