マルウェア対策への機械学習の活用
インターネットでは、毎日 100 万以上のウイルスが新たに発見されています。このような膨大な量の脅威が発見されるようになったのは、シグネチャベースのウイルス対策を欺いて、完全に一意であるかのように見せかける、高度なマルウェアが増え続けているためです。ポリモーフィックマルウェアは、文字を自動的に並び替え、空白を挿入し、コードを難読化することで、複数のバージョンの一意の不正ファイルを生成します。このようにファイルを少しでも変更すれば、完全に一意のハッシュとして、従来型のシグニチャベース AV ソリューションを回避し、マルウェアを侵入させることができます。
機械学習には、どのようなメリットがあるのでしょうか。
膨大な量の脅威が存在するため、マルウェア対策では、有害である可能性のあるファイルを迅速かつ大量に分析できる能力が必要とされます。ルールとアルゴリズムを使えば、ファイルのコードに存在する一般的な不正コマンドを探すプロセスを自動化できますが、常に変化するマルウェアに対応するには、セキュリティアナリストがこれらのルールを常に更新し、発生する脅威を検知できるようにする必要があります。そして、これを可能にする鍵となるのが、機械学習の活用です。
セキュリティアナリストによるファイルの分析と分類のプロセスに機械学習を活用することで、新たなマルウェアの脅威の識別が効率化されます。ファイルの分析後に、コードをトークン化し、ポリモーフィズムで使われることの多い演算子を除去してから、マルウェアの進化のトレンドを識別するよう学習された複数の機械学習アルゴリズムを使用して、分類します。こうすることで、1 度に 1 つずつではなく、類似していると判断されたファイルをまとめて分析できるようになるため、新たなマルウェアに対する幅広い保護が可能になります。複数の機械学習アルゴリズムを併用すれば、精度が向上し、誤検知を少なくできます。
ウォッチガードは、Fireware 12.0 のリリースに、機械学習モジュールを活用した新たな軽量 GAV 検知エンジンを採用しました。ウォッチガードのお客様には、次のような理由により、GAV サービスの効率化のメリットが提供されます。
- 業界をリードするファイルカバレッジで、既知の脅威からの幅広い保護が実現。
- 1 日に何回もシグネチャが更新されるため、新たな脅威への迅速な対応が可能
- 実行ファイル、Microsoft Office、PDF ファイルなどのスキャンの最適化により、パフォーマンスが向上
詳細は、watchguard.com/wgrd-products/security-services/gateway-antivirus (英語)を参照してください。