AIBR プレミアム
拓海先生、最近部下に「ランサムウェア対策にAIを使おう」と言われましてね。正直、AIって何から始めればいいのか全く見当がつかないんです。
素晴らしい着眼点ですね!大丈夫、焦る必要はありませんよ。今回はSysmonというツールを使って、増分学習(incremental learning)でランサムウェアを検出する研究を噛み砕いて説明できますよ。
Sysmonって聞き慣れないですね。ログを取る道具のことですか?それと増分学習って要するに都度全部作り直さないで追加学習する方法のことですか?
その通りです。Sysmon(System Monitor、Windows用の拡張イベントロギングツール)はシステムの振る舞いを詳細に記録します。増分学習(incremental learning)は、既存モデルを丸ごと作り直す代わりに新しいデータで継ぎ足し学習する仕組みで、現場運用に向いた方式なんです。
なるほど。で、結局それは今のうちの現場に導入して意味があるんでしょうか。投資対効果が気になります。
大丈夫です、要点は三つだけ説明しますね。まず、Sysmonは再起動後も確実にイベントを取れるので現場の“見えない”挙動を拾える点。次に、増分学習はモデル更新のコストを抑え、すぐに新種の振る舞いを取り込める点。そして三つ目は、実運用を想定した評価で有効性を示している点です。
具体的にはどんなデータを使うんですか。APIの呼び出しやファイル操作の履歴をそのまま学習させる感じでしょうか?
はい、そこが肝心です。ここで言う動的解析(dynamic analysis、動的解析)はプログラムを実行して振る舞いを監視する手法で、API(API、Application Programming Interface)呼び出しやプロセス間通信、ファイル変更などのイベントをSysmonが拾います。つまり実行時の行動を根拠に判定するわけです。
それだと、巧妙なランサムウェアが来た場合に古い学習内容で見逃すことはないんでしょうか。これって要するに、常に学習し続けることで見逃しを減らすということ?
まさにその通りです。増分学習は“概念ドリフト(concept drift detection、概念ドリフト検出)”に対応しやすい設計です。概念ドリフトとは時とともに検出対象の振る舞いが変わる現象で、これに追随してモデルを継続更新することで見逃しを抑えられます。
運用面ではログが膨大になりませんか。現場のストレージや管理の負担が心配です。
ここも現実的な配慮がなされていますよ。Sysmonは必要なイベントに絞って出力する設定が可能で、中央ログに送る前に前処理で特徴量抽出やフィルタを入れてデータ量を圧縮できます。また、増分学習は過去全データを保持せず更新する手法を採ればコストを抑えられます。
現場の担当者が運用できるレベルかも不安です。特別なAIの技能がないと無理ではないかと。
ご安心ください。論文は実運用を想定した設計で、運用者が扱いやすいログ抽出とモデル更新のワークフローを提案しています。最初はIT部門のサポートが要りますが、徐々に運用を内製化できる道筋が見えますよ。
わかりました。要は、Sysmonで現場の挙動を拾い、増分学習で継続的にモデルを更新して新しいランサムウェアに対応するということですね。よし、一度試算して現場と相談してみます。
そのまとめ、完璧です。大丈夫、一緒に進めれば必ずできますよ。会議用のフレーズも用意しますから、使ってくださいね。
