マルウェアの検体
マルウェアの取得方法
マルウェアに感染したい人はいないと思うが、ウイルス対策ソフトの感度の測定やインシデント訓練などで、安全なマルウェアを使いたいことがある。
こちらの書籍で、取得方法が紹介されていた。
「セキュリティエンジニアのための機械学習」
――AI技術によるサイバーセキュリティ対策入門
こちらのブログの記載とかぶるところ多々。
書籍では、EBMERのデータセットを用いてマルウェア検出器を作成していた。
また、こちらのサイトが情報源として有益と紹介されていた。
その取得した検体をどのように活用するか?
マルウェアの画像化
マルウェアの検体の利用方法は、そのハッシュ値からシグネチャを生成して、判定するだけかと思っていました。それだと、ハッシュ値を偽装されるとマルウェアと判定されなくなる。
ディープラーニングを活用した判定では、マルウェアを画像化して、特徴が似ているか、という判定もされているようです。
こちらの論文にイメージが掲載されています。
マルウェアの指名手配写真。
イメージの作成方法は以下のステップ。
・マルウェアのバイナリデータを8ビットのベクトルへ変換
・8ビットベクトルからグレースケール画像へ変換
マルウェア検知をディープラーニングの得意な、画像処理にすることができる。
とはいえ、AIを騙す手法も存在しており、その辺りが課題のようです。
様々な角度から分析するための一つの手段としては、有益なのでしょう。
