2022 Fiscal Year Research-status Report
振る舞いのグラフ化と深層学習によるマルウェア検出手法に関する研究
Project/Area Number |
21K11880
|
Research Institution | Iwate University |
Principal Investigator |
中谷 直司 岩手大学, 理工学部, 准教授 (20322969)
|
Project Period (FY) |
2021-04-01 – 2024-03-31
|
Keywords | マルウェア検出 / 深層学習 / 振る舞い検知 |
Outline of Annual Research Achievements |
本研究は,マルウェアを検出することを目的に,振る舞いのグラフ化と深層学習によるマルウェア検出手法を提案する.ソフトウェアの振る舞い,すなわち“APIの呼び出しログ”をもとにマルウェアを検出する手法として,自然言語処理を応用する手法がいくつか提案されている.すなわち“APIの呼び出しログ”と“自然言語処理における文書”の類似点に着目し,単語の特徴量であるtf-idfをAPIに対して適用したり,文書全体の特徴量であるDoc2Vecをログファイルに適用したものを,深層学習の入力データとすることでマルウェアを検出する手法が提案されている.しかし,tf-idfやDoc2Vecなどは本来は100万語を超える自然言語を処理するためのものであるため,せいぜいが数万語のAPI呼び出しログに適用するには最適とは言い難い.そこで本研究では,自然言語処理の考え方をベースにしつつ,通常の文章では見られない繰り返しや並列動作などを表現するためAPI呼び出しログをグラフ化し,そのデータ表現を用いることで計算機資源を削減した,深層学習によるマルウェア検出手法の提案を目指している. 2年目である本年度は,昨年度の研究成果であるソフトウェアの振る舞い,すなわち“APIの呼び出しログ”のグラフ構造化の結果を踏まえ,“APIの呼び出しログ”から得られたグラフを特徴量として深層学習で学習し,その類似性を基にマルウェアと正常なソフトウェアの2つに分類することで,マルウェアかどうかが不明なソフトウェア群からマルウェアを検出する手法の研究開発を行った.また,深層学習の扱いに慣れる意味で,グラフではない既存のデータを用いた深層学習によるマルウェアの検出や,ネットワークからの侵入検知などにも取り組み有用性を示した.
|
Current Status of Research Progress |
Current Status of Research Progress
3: Progress in research has been slightly delayed.
Reason
本研究は当初の計画から研究全体を大きく2つに分けて行う予定であり,初年度である昨年度はその第1段階として,ソフトウェアの振る舞い,すなわち“APIの呼び出しログ”を繰り返しや並列動作などを表現しつつグラフ構造に変換する手法について研究を行った.変換の結果得られたグラフを可視化することで,マルウェア間に類似性を表現できていることは人間の目で見て確認できている.すなわち,マルウェアかどうかが不明なソフトウェア群を全てグラフとして可視化し,既にマルウェアと分かっているグラフとの類似性を人間が判断することで,マルウェアの検出が可能となっているといえる.そこで,本年度はこのグラフを特徴量として深層学習で学習し,類似性を基にしたマルウェア検出手法の研究開発を行った.開発したシステムはマルウェア検出手法として形にはなっているが,今のところ,その正解率(マルウェアを検出する割合と,正常なソフトウェアを誤検出しない割合を総合的に示した指標)はあまり高くないのが現状であり,当初の計画からはやや遅れている.
|
Strategy for Future Research Activity |
本研究はソフトウェアの振る舞い,すなわち“APIの呼び出しログ”を繰り返しや並列動作などを表現しつつグラフ構造に変換する部分と,その変換したグラフを元に深層学習によりマルウェアを検出する部分に分けることができる.昨年度の研究でグラフ変換の部分については目処が立ち,今年度は深層学習によるマルウェア検出の部分に取り組んだ.開発した深層学習によるマルウェア検出手法はシステムとして形にはなっているが,その精度はあまり高くないのが現状である.深層学習の手法の選択やパラメータの調節などにはある程度の経験則が必要になってくるため,今後の研究で改善していく予定である. また,昨年度に引き続き今年度も,グラフではない既存のデータを用いた深層学習によるマルウェア検出や,ネットワークに対する外部からの侵入検知に深層学習を応用する手法などの研究も行い,深層学習に関する経験を重ねてきた.深層学習は数学的な解析が十分に進んではいないため経験則が重要となっており,グラフ以外における深層学習を利用した研究ついては来年度においても継続して行っていきたい.
|
Causes of Carryover |
新型コロナウイルスの感染拡大に伴い多くの研究会が対面ではなくオンラインでの開催となったため,出張旅費として確保していたものが不要となり,参加費が対面開催のときよりも低価格に変更されたため残額が生じた. 深層学習に使う計算機を実際に運用してみると,データ保存領域が十分ではなかったためその拡張と,電力の安定供給のための無停電電源装置の導入に次年度使用額を当てたいと考えている.
|
Research Products
(2 results)