γダイバージェンスに基づく異常検知手法の提案とシステムコール発行履歴への適用

摘要

近年のマルウェア被害の増加に伴い，マルウェアの侵入検知の需要が増加している．本稿では，この課題に対して機械学習による異常検知の適用について論じる．マルウェアがホストに感染するとプロセス制御の奪取が起こり，システムコールの発行履歴に異常が生じる．ここに着目して，システムコール正常列の振る舞いをマルコフモデルで学習して異常を検知する手法が提案されている．しかし一般にマルウェアに感染していないという保証のあるデータは存在せず，学習データには異常データが混在している可能性がある．さらに感染中は異常なシステムコール発行が継続するため，異常データの割合が小さいとは限らない．よって正常列の振る舞いの学習は一般に難しい．このような問題に対し，近年統計学において外れ値の割合が大きくても頑健な学習が可能な，γダイバージェンスに基づく推定手法が提案されている．本研究では，これをマルコフモデルの推定に応用する手法を提案する．また，これを実データに基づく模擬データに対して適用した結果を報告する．