サイバーセキュリティ

異常検知 シグネチャ検知とアノマリー検知 図解サイバーセキュリティ用語

投稿日:

マカフィーやシマンテックなどのウィルス対策ソフトやSourceFireなどのIDS/IPS製品では異常検知を行う事によって、不正なトラフィックや悪意のあるコマンドを検知しています。異常検知には主にシグネチャ型とアノマリー型の2種類あり、以前はシグネチャ検知が主流でしたが、現在はシグネチャ検知とアノマリー検知を両方利用することによって効果的な検知を行います。

シグネチャ検知とアノマリー検知

シグネチャ検知は事前に「異常なパターン」を定義することが特徴ですが、逆にアノマリー検知の場合は「正常なパターン」を学習させることで、その「正常なパターン」から逸脱した動作を異常とみなす事が特徴です。

アノマリー検知とシグネチャー検知の説明

 

ウィルス対策ソフトでは毎日定義ファイル(DAT)が更新されます。この定義ファイルにはウィルスのシグネチャが定義されています。つまり、ウィルスの動作を定義してパターンマッチする動作に対してウィルスとみなすのです。この方法は既知のウィルスに対してはとても効果的ですが、未知のウィルスや亜種ウィルスに対しては効果的ではありません。なぜなら似たようなウィルスでも若干動作が違うとシグネチャが違ってくるからです。

そこで、アノマリー検知の登場です。アノマリー検知は事前に異常なデータを学習させる必要はなく、正常なデータ・動作のみを学習しておけば良いのです。そこから逸脱した動作をすればそれを異常とみなします。よって未知のウィルスや亜種にも対応できるのです。一方でアノマリー検知はフォルスポジティブの発生率が高いのでチューニングが必要となります。また、初期段階で取得した正常なデータの中に既にウィルスが紛れ込んでいたら意味がなくなってしまいます。ですので、アノマリー検知もある程度メンテナンスが必要となります。

広告

広告

-サイバーセキュリティ

関連記事

Firewall(ファイアウォール)とは、パケットフィルタリングとアプリケーションゲートウェイ

Firewall(ファイアウォール)は日本語だと防火壁の事で、火の侵入を防いで火事が拡大することを防ぐ壁の事を言います。コンピュータの世界ではFirewall(ファイアウォール)は外部の不正な通信や攻 …

no image

情報セキュリティのCIAとは?

CIAというと、米国の諜報機関である中央情報局(Central Intelligence Agency)や監査系の資格であるCertified Internal Auditorの略と思う方が多いと思い …

no image

防衛省が対サイバー兵器、攻撃を逆探知し無力化(読売新聞)

読売新聞によると、防衛省が、サイバー攻撃を受けた際に攻撃経路を逆探知して攻撃元を突き止めるウィルスを開発しているといいます。逆探知する際に、感染された端末のウィルスを無効化していくそうで、良いことして …

no image

図解:共通鍵暗号方式と公開鍵暗号方式

共通鍵暗号方式は、暗号化する鍵と復号する鍵に同じ鍵を使います。つまり、データを暗号化するユーザと暗号化したデータを受け取って復号するユーザは同じ共通鍵を持っている必要があります。 共通鍵暗号方式は1対 …

no image

NDRスパム

NDRとはNon Delivery Receiptの略で「配信不能レポート」の事です。メールを送信して、宛先が存在しなかった場合などに送信者に「送信できませんでした」というような旨のNDRが送付されま …

広告

転職