** 本記事は、SophosAI at Black Hat USA ’25: Anomaly detection betrayed us, so we gave it a new job の翻訳です。最新の情報は英語記事をご覧ください。**
今年の Black Hat USA カンファレンスにおいて、ソフォスのシニアデータサイエンティストである Ben Gelman と Sean Bergeron が、コマンドライン異常検知に関する研究について講演を行います。この講演では、大規模言語モデル (LLM) と従来の異常検知を相乗的に組み合わせることで、専用のコマンドライン分類ツールを強化する重要なデータをどのように特定できるかを検証します。
サイバーセキュリティにおける異常検知能力は長らく、予想される動作からの逸脱をあぶり出すことで脅威を特定する手法を用いてきました。しかし、悪意のあるコマンドラインを分類する場合、その手法の実務への適用はしばしば高い誤検知率をもたらし、高コストで非効率的です。しかし、コマンドライン異常検知に関しては、この手法がすべてではありません。最近の AI の革新により、研究者が探求すべき新たな視点がもたらされています。
Ben と Sean は講演で、異常検知がシステムの弱点とならないよう設計するという視点でこのトピックを掘り下げます。異常検知を別のプロセスに提供することで、教師なし学習手法が持つ潜在的な弱点、壊滅的な誤検知率を改善できます。しかし、Ben と Sean はその代わりに、分類を目的とした教師ありモデルの改良に取り組みました。
意外にも、彼らの手法の成功は、異常検知機能が悪意のあるコマンドラインを特定することに依存していませんでした。彼らは貴重な洞察を得ました。それは、異常検知を LLM ベースのラベリングと組み合わせることで、非常に多様な良性 (無害な) コマンドラインのセットが得られるというものです。この良性データをコマンドライン分類ツールのトレーニングに活用することで、誤検知率が大幅に低減します。さらに、研究者や防御者は、膨大な実環境データの中から悪意のあるコマンドラインを探し出す作業に悩まされることなく、豊富な既存データを利用できるようになります。
講演では、自身の研究結果と実験方法を共有し、異常検知によって特定された多様な良性データが分類ツールの理解を広げ、より回復力のある検知システムの構築にどのように貢献するかを解説します。悪意のある異常値を検知することだけではなく、良性データの多様性を活用することで、コマンドライン分類戦略における潜在的なパラダイムシフトの可能性を切り開きました。今回のアプローチは、大規模かつ低コストで検知システムに実装できるものです。
ふたりの講演は、8月 7日木曜日の午後 1 時 30 分 (太平洋夏時間) にネバダ州ラスベガスで開催される Black Hat USA カンファレンスで行われます。彼らの研究についての詳細な記事は、講演後に発表される予定です。
