VoodooShield は ML.NET を使用してマルウェアを検出します

VoodooShield は、従来のアプリケーション許可リスト製品にはない高度な機能を多数提供する、サイバーセキュリティにおける有形の切り替え型コンピューター ロックです。Microsoft Defender を含む、従来のウイルス対策ソフトウェアと次世代のウイルス対策ソフトウェアを補完するように設計されています。VoodooShield は、動的なセキュリティ体制、マルウェア対策用コンテキスト エンジン、高度なファイル評価サービス (WhitelistCloud)、機械学習に対応した静的機能分析の組み合わせを使用して、コンピューターが危険にさらされたときに自動的にロックします。

ビジネスの問題

組織は、従来の既定で許可されたサイバーセキュリティ製品のみに依存できなくなり、ゼロトラスト セキュリティ体制に移行する必要があります。システムまたはエンドポイントに適用される保護の程度は、脅威レベルに大きく依存します。ほとんどの場合、常に高い脅威レベルで運用することは不便で、コストがかかります。高レベルの保護は、侵害のリスクを最小限に抑えるのに役立ちますが、既存のワークフローに摩擦と中断を追加します。逆に、脅威レベルが低い状態で運用すると、侵害が発生する可能性が高くなります。したがって、脅威をブロックするだけでなく、許可する必要があるものを自動的に許可する、脅威レベルのコンテキストに基づいて行動する動的なセキュリティ体制を構築することが重要です。ゼロトラストへの移行は簡単なものではありません。VoodooShield を使用すると、その移行が簡略化されます。VoodooShield は、機械学習を含むさまざまな手法を使用して、マルウェアをリアルタイムで検出し、ファイルに関する分析情報を提供して、エンドユーザーがファイルを許可するかブロックするかについて、十分な情報に基づいて決定できるようにします。

ML.NET を選ぶ理由

VoodooShield は、2015 年から機械学習ソリューションを使用しています。以前のソリューションは長年にわたって非常にうまく機能しましたが、最近、まもなく廃止される予定であることが通知されました。さまざまな新しい機械学習プラットフォームを調査し、ML.NET が VodotoShield に最適であることを発見しました。調査の一環として、機械学習アルゴリズムが過去 7 年間で大幅に進行していることに気付きました。その結果、前例のないレベルのマルウェア検出の有効性と誤検知が大幅に減少しました。

ML.NET は、Microsoft のソリューションに完全かつシームレスに統合されます。"

ML.NET の影響

ML.NET を使用して以来、VoodooShield のマルウェア検出と誤検知率は大幅に向上しています。すべての機械学習分析がクラウドではなくローカル コンピューターで実行されるようになったため、VoodooShield は以前よりもはるかに迅速にファイル分析情報を提供できます。Model Builder などの ML.NET ツールを使用すると ML.NET が問題を解決できるかどうかを簡単に検証できるようになりました。その結果、実験から運用環境に数週間で移行できました。

ソリューション アーキテクチャ

データ

モデルのトレーニングに使用されるデータは、マルウェア リポジトリやオンライン サービスなど、さまざまなソースから取得します。約 1.2 GB のデータや約 50 万サンプルのトレーニング セットは、主にポータブル実行可能 (PE) ファイルで構成されています。データセットには、各サンプルに関するメタデータと説明情報を含む約 224 個の機能があります。VoodooShield は、データをトレーニング用に準備するために、OneHotEncoding や FeaturizeText などのデータ変換の選択をサポートするために、Model Builder に依存しています。

評価と消費

トレーニングが完了すると、Model Builder で選択された上位モデルのいくつかをテスト データセットで評価し、"real" データに対して最適に実行されるモデルが選択されます。最適なモデルが特定されると、そのモデルはデスクトップ アプリケーションに統合され、エンドユーザーがコンピューター上の特定のファイルをブロックまたは許可するかどうかについてリアルタイムのマルウェア分析と推奨事項が提供されます。