拓海先生、最近部下から『MalFlows』って論文が良いと聞いたんですが、正直タイトルだけではピンと来ません。要するに何が新しいのか端的に教えてください。
素晴らしい着眼点ですね!一言で言うと、MalFlowsはアプリ解析で得られる複数種類のフロー情報を、文脈を考慮して正しく結び付けることで、マルウェア検出をより正確にする技術です。大丈夫、一緒に整理していきましょう。
複数種類のフロー、というのは具体的にどういうものを指しますか。うちのシステムに当てはめるイメージが湧かなくて。
いい質問ですよ。ここで言うフローとは、関数呼び出しの列(実行の流れ)、データがどう流れるかの関係、そしてコンポーネント間通信(Inter-Component Communication (ICC) インターコンポーネント通信)などを指します。例えるなら、工場の『作業手順』『材料搬送』『部署間の伝達メモ』がそれぞれ別にある状態です。
なるほど。じゃあ従来はそれらをうまく組み合わせられなかった、と考えれば良いですか?これって要するに異なるフロー情報を文脈に沿って統合するということ?
その通りです!従来は異なるフローを単純に並べるか、表面的に合わせる手法が多く、文脈を無視すると無関係な情報同士が結びつき誤った推論につながることがありました。MalFlowsはその文脈、つまりどのフロー要素がどの関係で結ばれているかを明示的に扱う工夫をしています。
経営目線で気になるのは、現場に入れて本当に誤検知が減るのか、コストに見合う効果が出るのかです。導入後に運用負荷が増えたりしませんか。
良い視点ですね。要点を3つにまとめます。1) 文脈を考慮することで誤結合が減り判定精度が上がる、2) HIN(Heterogeneous Information Network 異種情報ネットワーク)という既存概念を使って構造的に表現するため拡張性が高い、3) 既存の静的解析データを活用するため大がかりな計測インフラは不要である。これらを踏まえれば投資対効果は見込めるんです。
専門用語が出ましたが、HINというのは現場でどう生きますか。結局はプログラムのモデル化方法の違いと理解して良いですか。
いい把握ですね。HINは『種類の違うノードと边(エッジ)を区別して扱えるグラフ構造』のことです。工場で言えば人、機械、材料を別種類として扱い、それぞれの関係性を保持する台帳のように考えると分かりやすいですよ。これにより、文脈に沿った結び付けが可能になりますよ。
アルゴリズム自体は複雑そうですが、既存のツールやデータを活かせるなら現場の負荷は抑えられそうですね。最後に、うちの現場で導入検討する際に重要な確認ポイントを教えてください。
素晴らしい締めですね。確認ポイントは三つだけ押さえましょう。1) 現行の静的解析データが十分に取れているか、2) フロー間の関係性を表現できるデータスキーマに変換可能か、3) 初期評価で誤検知・見逃し率が改善するかを小規模で検証することです。順を追えば必ず進められますよ。
分かりました、拓海先生の説明で方向性が見えました。要は文脈を保ったままフローを結び付けることで誤検知を抑え、既存資産を活用して段階的に導入するということですね。自分の言葉で言うと、『現場の流れを壊さずに、より正確に悪意を見つける仕組みを追加する』ということになります。
