AutoGenを用いたマルチモーダル・マルチエージェント・ランサムウェア解析

TL;DR（結論）

現代の高度なランサムウェアに対抗するため、静的・動的・ネットワークの3つの情報を統合し、AutoGenを活用したマルチエージェント・フレームワーク「MMMA-RA」を提案する。 各モダリティに特化したエージェントがオートエンコーダーと対照学習を用いて特徴を抽出し、トランスフォーマー分類器とエージェント間のフィードバックにより、Macro-F1スコア0.936という高い精度でファミリーを特定する。 100エポックの試行でエージェントの品質が0.75以上向上し、信頼性を意識した棄権メカニズムの導入により、不確実な状況では保守的な判断を下すことで実運用における信頼性を確保した。

なぜこの問題か

ランサムウェアは、世界中で多大な経済的損失と業務の中断を引き起こしている最も深刻なサイバーセキュリティの脅威の一つである。その攻撃手法は年々進化しており、Dharma、WannaCry、Locky、Revilといった多様なファミリーが登場し、スケアウェア、ロッカー型、クリプト型など、被害の形態も多岐にわたる。従来の検知手法には、実行ファイルの中身を調べる静的解析、サンドボックスで挙動を見る動的解析、通信を監視するネットワーク解析などがあるが、これらを単独で使用するだけでは限界がある。例えば、静的解析はパッカーや難読化によって回避されやすく、動的解析は環境チェックや実行遅延コードによって無効化されるリスクがある。また、ネットワーク解析も通信の暗号化によってその効果が制限されることが少なくない。 近年のランサムウェアは多態性や回避技術を駆使しており、特定の視点（モダリティ）では無害に見えても、別の視点では悪意のある意図を示すことがある。このような背景から、単一のモダリティに依存する既存の機械学習モデルでは、悪意のある微妙なパターンを見逃す可能性が高い。…

核心：何を提案したのか

本論文では、静的、動的、およびネットワークの3つのモダリティを統合した、マルチモーダル・マルチエージェント・ランサムウェア解析（MMMA-RA）フレームワークを提案している。このシステムの核心は、AutoGenを利用したマルチエージェント・アーキテクチャにあり、各データ型を処理するために専門化されたエージェントを配置している。各エージェントは、オートエンコーダーに基づいた特徴抽出を行い、各モダリティ固有の意味（セマンティクス）を保持しつつ、コンパクトな潜在表現を取得する。これにより、情報の損失を最小限に抑えながら、異なる種類のデータを効率的に統合することが可能になる。 提案されたMMMA-RAフレームワークは、単なる情報の統合にとどまらず、エージェント間のフィードバックメカニズムを導入している点が特徴である。このメカニズムにより、信頼性の低い情報を抑制しながら、特徴表現を反復的に洗練させることができる。また、Phi3.…

続きはログイン/プランで閲覧できます。