マルウェアは、シグネチャやヒューリスティックベースの手法では検出がますます困難になっています。そのため、ほとんどのアンチウイルス(AV)プログラムは、変異するマルウェア、特にAPT攻撃(Advanced Persistent Threat)に対して全く効果がありません。典型的なマルウェアは約10,000行のコードで構成されており、コードのわずか1%を変更するだけで、ほとんどのアンチウイルスプログラムは効果を発揮しなくなります。
5~6年前、顔認識やマルウェアの理解といった非線形問題の解決、そしてそのようなプログラムを一意に識別するためにどのような特徴を抽出する必要があるかといった問題に機械学習が利用され始めました。サンドボックスや機械ベースの技術といった他の技術は、ディープラーニングほど高速でも正確でもありません。
ディープラーニングを実装するために、Deep Instinctは研究所で大規模なニューラルネットワークを構築し、膨大なマルウェアサンプルを用いてプログラムを学習させました。学習は、数千万もの悪意のあるファイルと正規のファイルを含むデータベースを用いて行われます。この継続的な学習の結果、保護対象デバイスに送信できる予測モデルが生成され、リアルタイムの検知と防御が可能になります。
このソリューション(ニューラルネットワークインスタンス)自体は更新できないため、非常に高速にリアルタイムで動作し、コンピュータパワーをほとんど消費しません。Deep Instinctは、すべてのトレーニングから得られる認識機能によって、非常に低い誤検知率と、逆に非常に高い検出率を実現しています。しかし、新しいニューラルネットワークソリューションがリリースされる可能性があり、ネットワーク管理者は脅威のエコシステムに基づいて更新間隔を決定し、Deep Instinctがアップデートを提供します。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Deep Instinctは、今年第2四半期に、マルウェアやAPTを検知するトラフィックモジュールを開発したいと考えています。このモジュールはファイアウォールの代替となる可能性を秘めていますが、むしろ有用な補助機能として役立つ可能性が高いとしています。Deep Instinctの手法は、著名な競合他社、特に高度な技術を導入している新興企業と比べてどうでしょうか?そのような企業の一つである英国に拠点を置くDark Traceは、トラフィックの脅威指標を用いており、検知手法を機械学習へと変更しました。一方、Cybereasonは、外部指標、異なるドメイン、脅威インテリジェンスといった他の脅威パターンを分析する、異なる検知アプローチを開発しました。
ガイ・カスピ氏によると、北朝鮮によるソニーへのサイバー攻撃では、既存のマルウェアをわずかに改変した新しいマルウェアが使用されましたが、それほど高度なものではありませんでした。組織の境界が移動するにつれて、多くの企業にとってマルウェア検知の問題はますます解決が困難になっています。モバイルアクセスと新たな脅威アクターの出現により、ほとんどの組織のサイバー境界は移動しています。
Samsung、Qualcomm、Nvidiaといった大企業がDeep Instinctに投資している可能性があります。Deep Instinctアプライアンスは有料で、エンドポイントごとにインスタンスあたり約50~75ドル(利用量によって異なります)となる見込みです。モバイルソリューションは若干価格が高くなりますが、この価格は同分野の他社と比べて競争力があります。
シグネチャベースのマルウェア検知はますます不正確になり、スケーラビリティも欠如しています。Deep Instinctは、マルウェアを小さな「ビット」に分割し、ニューラルネットワークで分析することで、マルウェアに固有の特性を発見した可能性があります。それは、マルウェアが機能を維持するためには変異によっても変化できない特性です。もしこれが事実であれば、Deep Instinctの製品は検知市場におけるゲームチェンジャーとなるでしょう。
2016年4月4日午後2時25分(太平洋標準時)更新:使用されたマルウェアサンプルの数について説明を追加しました。ニューラルネットワークのアップデートについて説明を追加しました。FireEyeサンドボックスのアップデートを追加しました。
