MicrosoftとIntelは、マルウェアの検知・分類を行う新しいアプローチを開拓する研究プロジェクトを共同で進めている。
提供:Microsoft
「STAMINA」(STAtic Malware-as-Image Network Analysis)と呼ばれるこのプロジェクトは、マルウェアのサンプルをグレースケール画像に変換し、その画像をスキャンすることによって、マルウェアサンプル特有のパターンを発見するという新たな手法を柱にしたものだ。
IntelとMicrosoftの共同研究チームによれば、このプロセスは幾つかのステップから構成されている。第1ステップでは、入力ファイルをバイナリー形式から生のピクセルデータのストリームに変換する。
次に、通常の画像分析アルゴリズムで分析できるように、この1次元のピクセルストリームを2次元の画像に変換する。
画像の幅は、入力ファイルのサイズに応じて、以下の表に従って選択される。画像の高さは、ピクセルストリームを選択された幅の値で割って得られた値になる。
提供:Intel、Microsoft
ピクセルストリームを通常の2D画像に変換したら、その画像をより小さいサイズにリサイズする。
IntelとMicrosoftの研究チームによれば、画像のリサイズは膨大な量のピクセルから構成される画像を分析するために必要な計算リソースを節約するのに必要な処理であり、この処理を行っても「分類結果に対する悪影響は及ぼさなかった」という。
リサイズされた画像は、事前にトレーニングされた多層ニューラルネットワーク(DNN)によってスキャンされ、感染の有無を判別される。
Microsoftは、この研究に使用するために、感染したPE(Portable Executable)ファイルのハッシュのサンプル220万件を提供したと述べている。
研究チームによれば、STAMINAはマルウェアサンプルの識別と分類で99.07%の精度を達成し、誤検出率は2.58%だった。
この結果を考えればSTAMINAは、マルウェアを検出する手段の1つとして、近い将来Microsoftに機械学習モジュールとして実装されるかもしれない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
