未知のマルウェアを検知するための未来予測を用いた概念ドリフトの抑制

マルウェア検知モデルの精度は時間とともに低下する概念ドリフトの問題に対し、敵対的学習と生成的敵対的ネットワーク(GAN)を用いて未来のマルウェアサンプルを予測し、それを学習に取り入れることで、概念ドリフトの影響を抑制できる。

本研究では、マルウェア検知における概念ドリフトの問題に取り組んでいる。概念ドリフトとは、マルウェアの特徴が時間とともに変化し、検知モデルの精度が低下する現象である。 研究では2つの手法を提案している: 敵対的学習: 現在のモデルを欺くような敵対的サンプルを生成し、それを学習に取り入れることで、モデルを強化する。 生成的敵対的ネットワーク(GAN): 過去のデータの変化を学習し、未来のデータ分布を予測する。その予測サンプルを学習に取り入れることで、概念ドリフトに対処する。 実験では、公開データセットEMBER2018と内部データセットINTERNAL2019を用いて評価を行っている。 敵対的学習は、敵対的サンプルに対する頑健性は高めるが、未来のマルウェアを予測するには適していないことが分かった。 一方、GANを用いた予測手法は、特に変化の大きいマルウェアファミリーについて、検知精度を向上させることができた。 本研究は、概念ドリフトの問題に対して、未来予測を取り入れることで対処できる可能性を示している。特に、GANを用いた手法は有効であり、実用的な改善につながる可能性がある。

敵対的サンプルを用いた学習では、通常の学習に比べ、敵対的サンプルに対する検知率が10%以上高くなった。 GANを用いた予測手法では、通常の学習に比べ、検知率が最大で13%向上した。

"マルウェア作成者の明確な意図により概念ドリフトが引き起こされるため、未来のサンプルを予測することで、分類器の精度を向上させることができる。" "GANを用いて過去のデータ分布の変化を学習し、それを現在のデータに適用することで、未知の未来のデータに対する予測が可能となる。"