AIBR プレミアム
拓海先生、最近研修で「模倣(mimicry)攻撃」って言葉を聞きまして、現場での対策を考えねばと焦っております。要はウチのシステムに入られても見抜けないという話でしょうか。
素晴らしい着眼点ですね!模倣攻撃は確かに厄介で、外見上は正規の動作に見える不正が行われるんですよ。今回紹介する論文は、従来の「システムコール(system call)系列」に頼る検知を補強して、分岐(branch)情報を使いLSTMでモデル化する手法を提案しています。大丈夫、一緒に整理していきましょう。
うちの現場はデジタルに弱いので単刀直入に。これって要するに、今までの監視方法にもう一つ“視点”を足して見落としを減らすということですか?投資対効果が気になります。
まさにその通りです!要点を3つで説明しますよ。1)従来はシステムコール系列だけで挙動を見ていた。2)この論文は分岐(branch)系列を取り入れて模倣を見破りやすくしている。3)効率的取得のためにハードウェア支援(Intel PT)を使い、LSTMで大規模系列を処理しているのです。投資面では導入する観点と得られる検知強化の天秤です。
分岐情報って現場の運用で取るのは大変ではありませんか。ログが爆発しそうですし、扱う人もいないのではと心配です。
心配はごもっともです。でも安心してください。ハードウェア支援のIntel PTは、細かな分岐情報を効率的に圧縮して吐き出してくれます。データ量が増えても、LSTMという連続データ処理の得意なモデルで学習・推論を任せれば、人手の解析負担は最小限で済むんです。
なるほど。ではそのLSTMって、うちのIT担当が扱えるものなんでしょうか。学習データを用意するのも課題です。
良い質問ですね。LSTMはLong Short-Term Memoryの略で、長い連続データのパターンを学ぶのが得意なモデルです。専門家がいなくても、クラウドや外部ベンダーの既存サービスを利用して学習と運用を委託する選択肢があり、まずは小さな業務でPOCを回すのが現実的です。大丈夫、一緒に段階を踏めば必ずできますよ。
これって要するに、攻撃者が表面的に正しい振る舞いを装っても、内部の分岐の流れを見れば違和感が出るから見破れるということ?要は“挙動の深さ”を見る、という本質でいいですか。
まさに本質を突いています!要点はその通りです。分岐情報は表層のAPI呼び出しでは見えない、細かな意思決定の流れを示すため、模倣が難しくなります。とはいえ完璧ではないので、段階的な導入で運用コストと効果を見極めていく必要がありますよ。
分かりました。まずは影響の大きい重要システムから小さく試して、効果が出るかを見ます。要するに分岐という深い視点を足すことで模倣を減らし、段階的に投資するという理解で間違いないです。
