ニュース

富士通、組織内ネットワークに侵入したマルウェアの検知技術を開発

独自のAI技術「Deep Tensor」を拡張

 株式会社富士通研究所は19日、企業などの組織内ネットワークにおいて、ネットワーク内に侵入したマルウェアの検知を高精度化するAI技術を開発したと発表した。グラフ構造のデータを学習できる独自のAI技術「Deep Tensor」を拡張することで、日常業務で使われているネットワーク通信と区別が難しいマルウェアの活動を検知する。

 富士通研究所によると、侵入したマルウェアは日常業務でも使われるネットワーク通信やコマンド操作を悪用し、周辺情報の収集、他PCへの侵入試行、感染拡大など、動作を変えながら“侵攻”することから、日常業務によるネットワーク通信と、マルウェアの挙動によるネットワーク通信の間で、特徴の差が小さいという。このため、いったん侵入したマルウェアを検知するためには、マルウェアのさまざまな挙動を複合的にとらえる必要がある。

 そこで今回は、グラフ構造のデータを学習して分類できるDeep Tensor技術を拡張。時系列の特徴を学習できるようにすることで、高精度に侵入検知を行えるAI技術を開発した。

 Deep Tensor技術では、グラフ構造のデータからテンソルと呼ばれる数学表現への変換方法の学習と、Deep Learning(深層学習)の学習を同時に行って、グラフ構造データの高精度な学習を可能にしている。新技術では、テンソル表現を複数用意して異なる時間などに記録されたログ上の特徴を学習するとともに、特徴(テンソル表現)間の関係もDeep Learningで学習することにより、時系列ログデータの中から関係性の高い特徴群を抽出し、判別を可能にしている。

 またテンソル表現の増加に対応するため、テンソルの計算処理を高速化する技術と、並列分散処理化する技術もあわせて開発した。これにより、数十のテンソル表現を用いた場合でも、1つのテンソル表現を学習する時間で処理可能となっている。

 今回開発した技術を用いることで、時間とともにその攻撃の手段や頻度、範囲などが変化し、さらに日常業務のネットワーク通信と混在して活動するマルウェアの侵入検知が可能になった。

 なお、この技術について、MWS2017(マルウェア対策研究人材育成ワークショップ 2017)から提供されている研究用データセットを用いて、日常業務のネットワーク通信とマルウェアの攻撃を判別する試験を行ったところ、時間的に変化する複数の痕跡を学習できたことによって、93%の精度で検知できることを確認したという。

 この技術について富士通では、2017年度中に、人の行動履歴を用いたマーケティングなどサイバーセキュリティ以外の分野に向け、富士通独自のAI技術「FUJITSU Human Centric AI Zinrai」(以下、Zinrai)の技術として製品化を目指す。

 また、この技術を応用したマルウェア侵入検知技術は、これまで開発してきたサイバー攻撃の分析技術と組み合わせた対策支援技術として、2018年度に社内での実証を進めるとしている。