| 研究概要 |
「未知ウイルスを検出するための技術」と「未知ウイルスを駆除するための技術」との2つの視点から未知ウイルス対策技術の検討を行った.「未知ウイルスを検出するための技術」としては,既知ウイルスの特徴を機械学習することにより,類似点を持った未知ウイルスをGraham Bayes学習アルゴリズムで検出するBayesian Virus Filterを提案した.また,学習データとしては実行ファイル中のASCIIコードの連なりであるstringsを用い,それらを抽出する際の連なりの長さと検出性能の関係についても解析している.そして,一般的なアンチウイルスのみによる防御では,n種類のウイルスが発生すれば,n回の未知ウイルス発生を経験することが普通であったが,Bayesian Virus Filterでは5%のFalse Positive Rateに抑えながら未知ウイルスの発生を最高で約82%削減できることを解明した.
また,学習型ウイルスフィルタであるBayesian Virus Filterと既知ウイルスフィルタを組み合わせた未知コンピュータウイルス多地点学習フィルタネットワークの提案も行った.提案ネットワークの構成要素であるBayesian Virus Filterは自らが学習した未知ウイルスの種類を判別できない欠点をもっていた.そこで,Bayesian Virus Filterで検出した未知ウイルスを既知ウイルスフィルタに一時的に学習させておくことで,アンチウイルスのシグネチャ更新を待つことなしに,危険と判断された未知ウイルスのみを効率よく学習する機構を提案した.
さらに,Distributed Checksum Clearinghouse(DCC)の概念をウイルスにも適用した.この提案ネットワークは既知ウイルスフィルタを利用しネットワーク内に流通する同一の実行ファイル数を数える事で,個々のBayesian Virus Filterの学習結果の中で正しい情報のみを全ノードで共有する.各要素をモデル化して提案ネットワークを計算機シミュレーションで評価したところ,初期状態において提案フィルタの有効であるノードの割合によっては逆にウイルスが拡散するケースが増加するという特性が明らかになった.しかし一方では,ノード間において学習情報を適切に共有さえすれば,未知ウイルス検出性能を低下させずに,ネットワーク全体を常に安全な状態に保てる事も判明した.「未知ウイルスを駆除するための技術」としては,ワクチンを自動生成しウイルス駆除を行うUSBフラッシュメモリを試作した.開発したUSBフラッシュメモリ内にはブート可能なLinuxが内蔵されており,それをUSBポートに挿入しPCの電源を入れると独自の検証環境が起動する.次に,検証環境内のウイルス感染行動に着目することで未知ウイルスを検出すると同時にLinuxとWindowsで動作するワクチンを生成する.実際にこれらのワクチンでウイルスが駆除可能か検証を行ったところ,通常のファイルを誤って駆除することもなく,ウイルスのみを駆除することができた.
|
