富士通研究所は2017年9月19日、開発したAI技術「Deep Tensor」を用いて企業ネットワークにおける通信のログデータを学習し、標的型攻撃などによるマルウェアの侵入を検知する技術を開発したと発表した。
研究用のログデータセットを用いて、問題のないネットワーク通信とマルウェアが動作している通信からマルウェア攻撃を判別する試験を実施したところ、既存の機械学習では76%の精度だったのに対し、93%と高精度で判別したという。2017年度中に富士通のAI&ロボティクス技術「FUJITSU Human Centric AI Zinrai」の1つとして製品化する計画である。
企業ネットワークに侵入したマルウェアは年々高度化し、例えば攻撃の手段や頻度、範囲などを時間によって変化させたり、通常の通信と混在して見えるように振る舞う。このため侵入を検知するのが難しくなっている。これに対し富士通研究所は、時系列ログデータに含まれる様々な特徴と特徴間の関係、マルウェア侵入時における行動の種類や数、通信の間隔や順番などの関係性を学習し、侵入を検知する技術を開発した。
富士通研究所が開発したマルウェア検知技術の動作概要拡大画像表示
具体的には、通信に関わる各種ログの時系列データをもとに、例えば人による端末の操作とネットワークのログを関連づけるなどして、グラフ構造データにする。一方、グラフ構造データテンソルと呼ぶ数学表現に変換する学習と、テンソル表現間の学習という2段階の学習を同時に行うことで、グラフ構造データを高精度に分類。最終的に時系列データから、マルウェアの攻撃に起因する通信の有無を判別できるようになった。
同研究所は「本技術により、巧妙化し変化し続けるサイバー攻撃に対して、継続的に成長し、迅速に対応できる手段を実現する」としている。2017年度中にZinraiの要素技術として製品化を目指すほか、富士通が開発しているほかのサイバー攻撃の分析技術と組み合わせて、富士通社内での実証を進める考えだ。
