拓海先生、最近社内で「API呼び出しを見てマルウェアを検知する論文」が話題になってまして、何がそんなに良いのか掴めていません。要点を教えていただけますか。
素晴らしい着眼点ですね!大丈夫、短くまとめますよ。結論はこれです。順序を無視してもAPI呼び出しの有無と頻度だけで高確率にマルウェアを見つけられる、つまり軽量で現場導入しやすい検知法なんです。
要するに、プログラムがどの関数を呼んだかだけ見て後は深く追わなくていい、ということですか?現場の負担が減るならありがたいのですが。
その通りです。ここで大事なのは三つだけ覚えてください。1) 順序を見ないため処理が速い、2) 特定ライブラリ(ntdll.dll)の呼び出しを拾うことで多くの振る舞いが観測できる、3) サンプル数が多い公開データがあり学習に使いやすい、です。
それは助かります。ですが、順序を無視するというのは本当に安全ですか。攻撃者の巧妙な振る舞いを見落としませんか。
良い懸念です。ここは例え話で説明しますね。順序を無視するのは、取引履歴の中で特定の危険な商品だけ大量に買っているかを見るようなものです。順番は分からなくとも、頻度や組み合わせで危険性は推定できるんですよ。
これって要するに、重要なパターンだけを抜き出して監視し、細かい順序はコストをかけずに捨てる、ということ?
その理解で合っていますよ。大丈夫、一緒にやれば必ずできますよ。もう少しだけ踏み込むと、この手法は「特徴量設計(feature engineering)」。初めて聞きますか。特徴量設計は、データから判定に効く要素を作る作業です。
特徴量設計、なるほど。現場にあるデータだけで作れるならコスト的にも良さそうです。導入する際に気をつける点はありますか。
はい。注意点は三つです。1) 十分なサンプル数、2) 閾値設定と誤検知対策、3) 実運用時の観測ポイントの安定化です。特に論文では、最低でも約250のAPI呼び出しを得ると精度が安定すると示しています。
なるほど、観測数の下限があるわけですね。では最後に、我々が判断する上でのキーポイントを教えてください。
三点だけ覚えてください。1) 軽量で現場導入しやすい、2) データが揃えば高精度、3) 閾値と誤検知の運用ルールが鍵です。大丈夫、取り組みは小さく始められますよ。
わかりました。私の言葉で整理しますと、順序は捨ててAPIの種類と出現頻度で怪しい動きを拾い、必要な観測量を満たせば現場で使える実用的な方法、という理解で合っていますか。
素晴らしい着眼点ですね!その通りです。大丈夫、一緒に設計すれば必ず導入できますよ。
