MicrosoftとIntel、ディープラーニングでマルウェアを分類する研究成果を発表：マルウェアバイナリを画像に変換 転移学習を利用

Microsoftの脅威保護インテリジェンスチームとIntel Labsの研究者が、ディープラーニングをマルウェア分類に応用する新しい方法を共同で研究し、成果を挙げた。

[＠IT]

　Microsoftは2020年5月8日（米国時間）、同社の脅威保護インテリジェンスチームとIntel Labsの研究者が、ディープラーニングをマルウェア分類に応用する新しい方法を共同で研究し、成果を挙げたことを明らかにした。

　両社の研究者は、特に次の研究を進めてきた。

• コンピュータビジョンにおけるディープラーニングの成果を静的マルウェア分類に活用
• ディープラーニング手法をモデルサイズに関して最適化し、プラットフォームのハードウェア機能を活用して、ディープラーニングによるマルウェア検出アプローチの実行を改善

　前者の共同研究は、ディープラーニングの成果を静的マルウェア分類に応用する方法に関するIntelの従来の研究をベースにして実施した。コンピュータビジョンのタスクとしてマルウェア分類の問題に取り組むことの実用的価値を、Microsoftの実世界データを使って確認した。

　この共同研究は、次の洞察に基づいている。「マルウェアバイナリをグレースケール画像としてプロットした場合、そのテクスチャおよび構造パターンが、効果的にバイナリを無害または悪意ありと分類し、悪意あるバイナリを各脅威ファミリーにクラスタ化するのに利用できる」

　研究者は、「STAtic Malware-as-Image Network Analysis」（STAMINA）というアプローチを採用し、Microsoftのデータセットを利用して研究した。このアプローチにより、マルウェアを高精度に検知できることを証明した。

　研究成果と技術的な詳細は「STAMINA: Scalable Deep Learning Approach for Malware Classification」という論文にまとめられている。

ディープラーニングベースのマルウェア分類における静的分析の役割

　静的分析は通常、従来の検知手法に関連するが、人工知能（AI）ベースのマルウェア検知でも重要な要素だ。静的分析は、アプリケーションの実行やランタイムの挙動を監視することなく、コードを解析する。

　この目的のためにファイルのメタデータが生成される。AIベースの検知では、クライアントやクラウドで機械学習分類器がメタデータを分析することで、悪意あるファイルかどうかを判定する。静的分析により、ほとんどの脅威は実行する前に特定される。

　複雑な脅威を検知するために行われる動的分析や挙動分析も、静的分析をベースにしている。

　静的分析を大規模かつ効果的に実施する方法を見いだすため、Microsoftの脅威保護インテリジェンスチームとIntel Labsの研究者は、コンピュータビジョン分野で得られた知識を援用し、高度な静的マルウェア検知フレームワークを構築した。このフレームワークは、コンピュータビジョンにおけるディープラーニングの成果を生かして、画像として表現されたポータブル実行可能（PE）バイナリに関するトレーニングを行う。

マルウェアバイナリを画像に変換