サイバーセキュリティ

異常検知 シグネチャ検知とアノマリー検知 図解サイバーセキュリティ用語

投稿日:

マカフィーやシマンテックなどのウィルス対策ソフトやSourceFireなどのIDS/IPS製品では異常検知を行う事によって、不正なトラフィックや悪意のあるコマンドを検知しています。異常検知には主にシグネチャ型とアノマリー型の2種類あり、以前はシグネチャ検知が主流でしたが、現在はシグネチャ検知とアノマリー検知を両方利用することによって効果的な検知を行います。

シグネチャ検知とアノマリー検知

シグネチャ検知は事前に「異常なパターン」を定義することが特徴ですが、逆にアノマリー検知の場合は「正常なパターン」を学習させることで、その「正常なパターン」から逸脱した動作を異常とみなす事が特徴です。

アノマリー検知とシグネチャー検知の説明

 

ウィルス対策ソフトでは毎日定義ファイル(DAT)が更新されます。この定義ファイルにはウィルスのシグネチャが定義されています。つまり、ウィルスの動作を定義してパターンマッチする動作に対してウィルスとみなすのです。この方法は既知のウィルスに対してはとても効果的ですが、未知のウィルスや亜種ウィルスに対しては効果的ではありません。なぜなら似たようなウィルスでも若干動作が違うとシグネチャが違ってくるからです。

そこで、アノマリー検知の登場です。アノマリー検知は事前に異常なデータを学習させる必要はなく、正常なデータ・動作のみを学習しておけば良いのです。そこから逸脱した動作をすればそれを異常とみなします。よって未知のウィルスや亜種にも対応できるのです。一方でアノマリー検知はフォルスポジティブの発生率が高いのでチューニングが必要となります。また、初期段階で取得した正常なデータの中に既にウィルスが紛れ込んでいたら意味がなくなってしまいます。ですので、アノマリー検知もある程度メンテナンスが必要となります。

広告

広告

-サイバーセキュリティ

関連記事

no image

NDRスパム

NDRとはNon Delivery Receiptの略で「配信不能レポート」の事です。メールを送信して、宛先が存在しなかった場合などに送信者に「送信できませんでした」というような旨のNDRが送付されま …

WAF(ウェブアプリケーションファイアウォール)とは

WAFはWeb Application Firewallの略で、Webサービスを攻撃から保護するためのシステムです。WAFはHTTP通信を分析して、悪意のあるコマンドやパラメータを含む通信をブロックし …

no image

情報セキュリティのCIAとは?

CIAというと、米国の諜報機関である中央情報局(Central Intelligence Agency)や監査系の資格であるCertified Internal Auditorの略と思う方が多いと思い …

図解:共通鍵暗号方式と公開鍵暗号方式

共通鍵暗号方式 共通鍵暗号方式は、暗号化する鍵と復号する鍵に同じ鍵を使います。つまり、データを暗号化するユーザと暗号化したデータを受け取って復号するユーザは同じ共通鍵を持っている必要があります。 共通 …

no image

ハッカー集団Anonymous、「3月31日にインターネットをダウン」と予告

またまた興味深いニュースがありましたね。ハッカー集団Anonymousが3月31日にDNSルートサーバをDDoS攻撃してインターネットをダウンさせる、という予告をしたそうです。 専門家は「DNSサーバ …

広告

転職