AIBR プレミアム
拓海先生、最近部下から「バイナリ間の類似性検出をやるべきだ」と言われまして、正直ピンと来ないのです。これって要するに何をどうする話なんでしょうか。
素晴らしい着眼点ですね!簡単に言うと、バイナリ間類似性検出は、別の機械やコンパイラで作った実行ファイル同士が“同じ中身かどうか”を見分ける技術ですよ。大丈夫、一緒に紐解いていきますよ。
なるほど。しかし製品のバイナリはプラットフォームごとに全く違う形式になるはずです。それでどうやって「同じ」と判断できるのですか。
いい質問です。ここでの鍵は「構造的な特徴」を取り出す点です。具体的にはプログラムを制御フロー(Control Flow Graph (CFG)(コントロールフローグラフ))というグラフにして、そのグラフを数値ベクトルに変換します。そうすると異なる環境でも比較できるんです。
グラフを数値にする、ですか。うちで言えば現場の作業手順を要点だけ数字で表すようなものでしょうか。それなら比較はできそうに思えますが、精度や速度はどうなのですか。
そこで本論文が提案するのは、グラフ埋め込み(graph embedding)をニューラルネットワークで学習し、Siamese network(Siamese network、シアミーズネットワーク)という仕組みで類似度を直接学ぶ方法です。結果的に従来の厳密なグラフマッチングより速く、しかも学習で精度を高められる点が強みです。
これって要するに、高速に比べて従来の方法は遅くて不正確だから、学習済みモデルで代替して業務に取り入れやすくした、ということですか。
そのとおりです。要点を三つでまとめると、1) 制御フローグラフをノード属性付きで扱い、2) グラフ埋め込みネットワークで各関数をベクトル化し、3) Siamese構成で類似度を学習する、という流れです。投資対効果の観点でも、事前学習モデルは追加データで素早く適応できますよ。
事前学習モデルを使えば、うちの現場で独自にチューニングする負担は小さく済みそうですね。ただ、現場の古いCPUや特殊なコンパイラだと誤差が出るのではないですか。
良い指摘です。完全にカバーするにはデータ収集が必要ですが、本手法は「同一ソースコードを別設定でコンパイルした関数群」を大量に作って事前学習させる工夫があり、未知の最適化にも比較的強い設計です。とはいえ導入前に自社の代表的なバイナリで検証することが重要です。
導入コストと運用コストの見積もりはどんなものになりますか。ROIを示して部長を説得したいのです。
現実的な見積もりとしては、初期はデータ収集と事前学習にコストがかかりますが、学習済みモデルを使えば検出は高速で自動化できます。ROIは、手作業でのレビュー工数削減、マルウェアや脆弱性検出の早期化による被害低減、法務的な調査効率化の三点で説明すると説得力が出ますよ。
わかりました。最後に、これを一言で言うとどうまとめれば良いですか。会議で端的に伝えたいので。
要点は三行です。「機械語の構造を数値化して比較する」「従来の遅いグラフマッチングを学習ベースで高速化する」「事前学習モデルで自社環境に速やかに適応できる」。これで投資判断に必要なポイントは押さえられますよ。
ありがとうございます。では私の言葉でまとめます。要するに「プラットフォーム差を吸収した数値化で、バイナリの同一性や類似性を高速に見つけられる技術」で、初期は学習データを用意する負担があるが、運用では工数とリスク低減の効果が期待できる、という理解でよろしいですね。
