富士通研究所、マルウェア侵入の検知を高精度化するAI技術を開発

株式会社富士通研究所は、グラフ構造のデータを学習できる独自のAI技術「Deep Tensor」（ディープテンソル）を拡張し、企業などの組織内ネットワークへのマルウェア侵入の検知を高精度化するAI技術を開発した。

近年、サイバー攻撃の手法が巧妙化しており、特に標的型攻撃では専用のマルウェアを使用して侵入してくるため、侵入された後の対策を講じることが重要となってきている。しかし、侵入したマルウェアは、時間とともにその攻撃の手段や頻度、範囲などが変化し、さらに日常業務のネットワーク通信と混在して活動するため、これを検知するためにはマルウェアの様々な挙動を複合的に捉える必要があった。

そこで今回、同社は時系列ログデータに含まれる様々な特徴と、その特徴間の関係を学習する技術を開発した。同技術によって、組織内に侵入したマルウェアの複数の行動の種類や数、さらにその間隔や順番などの関係性を学習し、マルウェアの特徴を捉えることに成功した。

同技術について、「MWS2017」（マルウェア対策研究人材育成ワークショップ2017）から提供されているデータを用い、日常業務のネットワーク通信とマルウェアの攻撃を判別する試験を行ったところ、既存の機械学習手法が76%の精度であったのに対し、93%の精度で検知できることを確認した。時間的に変化する複数の痕跡を学習できたことが要因だった。

同技術は2017年度中に人の行動履歴を用いたマーケティングなどサイバーセキュリティ以外の分野に向けて、富士通のAI技術「FUJITSU Human Centric AI Zinrai」（ジンライ）として製品化を目指すという。

また、同技術を応用したマルウェア侵入検知技術は、これまで開発してきたサイバー攻撃の分析技術と組み合わせた対策支援技術として、2018年度に社内での実証を進める方針だ。

＜技術の詳細＞

Deep Tensor技術では、グラフ構造のデータからテンソルと呼ばれる数学表現への変換方法の学習とDeep Learningの学習を同時に行うことでグラフ構造データの高精度な学習を可能にする。

同技術では、テンソル表現を複数用意し、異なる時間などに記録されたログ上の特徴を学習し、さらに特徴（テンソル表現）間の関係もDeep Learningで学習することにより、時系列ログデータの中の関係性の高い特徴群を抽出して、判別が可能となる。

また、テンソル表現の増加に対応して、テンソルの計算処理について高速化する技術と並列分散処理化する技術も併せて開発。同技術では、数十のテンソル表現を用いた場合でも1つのテンソル表現を学習する時間で処理が可能だ。

提供：富士通研究所