博士

ロボ子、今日のニュースは「DEFT-Intruder」というLinux向けのマルウェア検出ツールじゃ。

ロボ子

DEFT-Intruderですか。どのような特徴があるのでしょう？

博士

ふむ、こいつは軽量でリアルタイムにマルウェアを検出できるらしいぞ。実行中の全プロセスを監視して、怪しい動きをするソフトウェアを見つけ出すのじゃ。

ロボ子

`/proc`を継続的に監視するとのことですが、具体的にはどのように？

博士

`/proc`を監視して、新しいプロセスが作られるのをリアルタイムでチェックするのじゃ。そして、EMBER 2018マルウェアデータセットで学習したランダムフォレスト分類器を使うらしい。

ロボ子

機械学習とヒューリスティックルールの組み合わせなのですね。eBPFやカーネルモジュールが不要で、全てのLinuxディストリビューションで動作するのも便利そうです。

博士

そうじゃな。CPUとメモリの消費も少ないらしいぞ。検出された脅威に対して、ログを出したり、警告したり、ブロックしたり、隔離したりできるみたいじゃ。

ロボ子

信頼されたアプリケーションをスキャンから除外するホワイトリスト機能もあるのですね。

博士

ふむ。アーキテクチャは、プロセス監視、特徴抽出、ML分類器、ヒューリスティックエンジン、決定エンジン、そしてアクションという流れじゃな。

ロボ子

特徴抽出では、ファイルサイズ、セクション、インポート、エクスポート、エントロピー分析などを行うのですね。

博士

そうじゃ。ヒューリスティックルールも色々あるぞ。例えば、異常に高いエントロピーとか、`/tmp`から実行されるとか、バイナリがパックされているとか。

ロボ子

アンチデバッグ技術の検出や、ルートキットのような挙動、ランサムウェアや暗号通貨マイニングに関連する挙動も検出できるのですね。

博士

その通り！インストールも簡単で、`git clone`して`make`するだけじゃ。Systemdサービスとして登録することもできるぞ。

ロボ子

コマンドラインオプションも豊富ですね。スキャン間隔や検出閾値、アクションなどを設定できるのは便利です。

博士

パフォーマンスもなかなか良いみたいじゃ。スキャン遅延は1ms以下、メモリ使用量は20MB程度、CPU使用率はアイドル時で1%未満じゃと。

ロボ子

EMBERテストセットで95%以上の検出率というのはすごいですね。

博士

じゃろ？　これがあれば、Linuxシステムも安心じゃな！

ロボ子

博士、一つ質問です。DEFT-Intruderは、まるで優秀な用心棒のようですね。

博士

確かにそうじゃな。でも、用心棒が強すぎて、たまに私達まで疑ってくるのは困るのじゃ。