ウイルスの検出には、ウイルスの特徴を表す「シグネチャ」と呼ばれるパターンを用いる方法が一般的です。シグネチャは、ウイルスの特徴を表す文字列やバイト列であり、アンチウイルスベンダーがウイルスを解析して得られた情報を元に作成されます。アンチウイルスソフトは、コンピュータ内のファイルやメモリをスキャンし、その中にシグネチャと一致するものがあればウイルスと判断し、駆除します。しかし、この方法には欠点があり、シグネチャが登録されていない未知のウイルスには対応できません。そのため、未知のウイルスを検出するためには、シグネチャを用いない方法が必要となります。

　日々100万個以上も新たに登場する未知ウイルスですが、そのほとんどは既知のウイルスをわずかに改変しただけのものであり、亜種ウイルスと呼ばれています。つまり、未知ウイルスのほとんどは亜種であるため、既知ウイルスとソフトウェアとしての特徴がよく似ています。この性質を利用して、未知ウイルスを検出する手法を研究しています。既知ウイルスと似ているかどうかでウイルスを検出する手法では、以下の点について考える必要があります。まず、ソフトウェアの特徴をどうやって入手するのかという問題で、ソフトウェアを実行せずに静的な情報を利用するのか、それとも実際に実行して動的な情報を得るのかという選択があります。次に、どの情報をソフトウェアの特徴とするのかという問題で、シグネチャに使うような文字列やバイト列を特徴とするのか、それともファイル操作や通信などのソフトウェアが呼び出した機能を特徴とするのか、などの様々なパターンが考えられます。また、その特徴をどのようにデータとして表現するのかという問題もあります。最後に、それらソフトウェアの特徴をどのように比較するのかという問題で、類似度をどのように算出するのかという問題があります。純粋に計算式を使って類似度を算出する方法もあれば、機械学習やAIを用いて学習し類似度を算出する方法もあります。これらの問題には、その組み合わせによって様々なバリエーションが考えられます。研究室ではウイルスの検出率が高く、かつウイルスではないものを誤ってウイルスとして検出する誤検出率が低い組み合わせを探しています。それと、検出の速度も重要であり、リアルタイムでウイルスを検出するためには高速なアルゴリズムであることも必要です。