富士通研究所は、独自のAI関連処理技術の「Deep Tensor」を拡張し、企業などの組織内ネットワークへのマルウェア侵入の検知に適用する(ニュースリリース)。Deep Tensorは、ディープニューラルネットワーク(DNN)の入力にグラフで表現できる情報を使った場合に、出力の精度を大幅に高められる技術である(関連記事)。
今回、Deep Tensor技術を時系列の特徴を学習できるように拡張した。すなわち、時系列ログデータに含まれる様々な特徴について、AとBが前後したり、AとBが同時に発生するといった特徴間の関係を学習する技術を開発した。これによって、組織内に侵入したマルウエアの複数の行動の種類や数、さらにその間隔や順番などの関係性を学習し、マルウエアの特徴を捉えることに成功し、マルウエア侵入の検知を従来手法に比べて高精度化したという。
Deep Tensor技術の拡張の概要は以下の通りである。Deep Tensor技術では、グラフ構造のデータからテンソル表現への変換方法の学習と、ディープラーニングの学習を同時に行うことで、グラフ構造データの高精度な学習を可能にしている。今回、テンソル表現を複数用意し、異なる時間などに記録されたログ上の特徴を学習し、さらに特徴(テンソル表現)間の関係もディープラーニングで学習することにより、時系列ログデータの中の関係性の高い特徴群を抽出して、判別可能にした。また、テンソル表現の増加に対応して、テンソルの計算処理を高速化する技術と並列分散処理化する技術も併せて開発した。これによって、数十のテンソル表現を用いた場合でも1つのテンソル表現を学習する時間で処理が可能になったという。
今回の技術の概要。富士通研のイメージ。
[画像のクリックで拡大表示]
