FARM：コンセプトドリフト下における少数ショット適応型マルウェアファミリ分類

TL;DR（結論）

マルウェアの進化に伴う統計的性質の変化（コンセプトドリフト）に対応するため、Windows PEファイルを対象とした新しい分類フレームワーク「FARM」が提案されました。この手法はトリプレット・オートエンコーダーを用いてデータを識別性の高い潜在空間に投影し、教師なし学習であるDBSCANクラスタリングと動的なしきい値設定を組み合わせることで、未知の検体や変化した挙動を正確に検知します。 検知されたドリフト検体はバッファに一時的に蓄積され、少数のラベル付きサンプルからクラスを代表する「プロトタイプ」を生成する少数ショット学習によって、モデル全体の大規模な再学習を待つことなく迅速に新しいマルウェアファミリーへと適応することが可能です。これにより、従来の静的なモデルが直面していた、時間の経過とともに分類精度が大幅に低下するという深刻な課題を解決し、動的な脅威環境下でも高い信頼性を維持します。 実装実験の結果、既存ファミリーの性質変化（共変量ドリフト）に対して分類性能が5.6%向上し、未知のファミリーに対しても少数ショット適応のみで0.85、その後の再学習後には0.94という高いF1スコアを達成しました。本フレームワークは、ラベル付けのコストを抑えつつ、Windows環境における膨大な新種マルウェアに対して効率的かつ継続的に防御能力を更新できる実用的なアプローチを提供し、サイバーセキュリティの実務におけるモデルの老化問題を緩和します。

なぜこの問題か

マルウェアの検出と分類の分野において、最大の課題の一つは検体が絶えず進化し続けるという動的な性質にあります。攻撃者は既存のマルウェアの挙動を修正したり、全く新しい特徴を持つファミリーを開発したりすることで、セキュリティ対策を回避しようと試みます。従来の機械学習や深層学習モデルは、特定の時点のデータセットでトレーニングされた場合には非常に高い精度を発揮しますが、実際の運用環境で時間の経過とともにその性能は著しく低下することが多くの研究で示されています。例えば、モデルの展開からわずか6ヶ月で検出率が99%から76%にまで落ち込むケースや、時間的背景を無視したランダム分割データでの評価に比べて、実際の運用環境では性能が最大50%も悪化するという報告があります。このような現象は「コンセプトドリフト」または「モデルの老化」と呼ばれ、統計的なデータの性質が時間とともに変化することで、過去に有効だったモデルが時代遅れになることを意味します。 マルウェアドメインにおけるドリフトは、主に「ラベルドリフト」と「共変量ドリフト」の2つの形式で現れます。…

続きはログイン/プランで閲覧できます。