サイバーセキュリティ

異常検知 シグネチャ検知とアノマリー検知 図解サイバーセキュリティ用語

投稿日:

マカフィーやシマンテックなどのウィルス対策ソフトやSourceFireなどのIDS/IPS製品では異常検知を行う事によって、不正なトラフィックや悪意のあるコマンドを検知しています。異常検知には主にシグネチャ型とアノマリー型の2種類あり、以前はシグネチャ検知が主流でしたが、現在はシグネチャ検知とアノマリー検知を両方利用することによって効果的な検知を行います。

シグネチャ検知とアノマリー検知

シグネチャ検知は事前に「異常なパターン」を定義することが特徴ですが、逆にアノマリー検知の場合は「正常なパターン」を学習させることで、その「正常なパターン」から逸脱した動作を異常とみなす事が特徴です。

アノマリー検知とシグネチャー検知の説明

 

ウィルス対策ソフトでは毎日定義ファイル(DAT)が更新されます。この定義ファイルにはウィルスのシグネチャが定義されています。つまり、ウィルスの動作を定義してパターンマッチする動作に対してウィルスとみなすのです。この方法は既知のウィルスに対してはとても効果的ですが、未知のウィルスや亜種ウィルスに対しては効果的ではありません。なぜなら似たようなウィルスでも若干動作が違うとシグネチャが違ってくるからです。

そこで、アノマリー検知の登場です。アノマリー検知は事前に異常なデータを学習させる必要はなく、正常なデータ・動作のみを学習しておけば良いのです。そこから逸脱した動作をすればそれを異常とみなします。よって未知のウィルスや亜種にも対応できるのです。一方でアノマリー検知はフォルスポジティブの発生率が高いのでチューニングが必要となります。また、初期段階で取得した正常なデータの中に既にウィルスが紛れ込んでいたら意味がなくなってしまいます。ですので、アノマリー検知もある程度メンテナンスが必要となります。

広告

広告

-サイバーセキュリティ

関連記事

諜報活動はOSINT、SIGINT、HUMINTの3種類が基本

サイバー空間上の諜報活動にはOSINT、SIGINT、HUMINTの3つの種類があります。これらは元々軍事用語として利用されていましたが、現在のサイバー空間上の諜報活動は戦争での諜報活動と同じように行 …

JCB、手のひら認証で支払い可能に

JCBはユニバーサルロボット株式会社と産業技術総合研究所との共同研究により、可視光手のひら静脈認証技術を用いたサービスの実証実験を2月に実施するようです。 手のひら認証の流れとしては、まずスマホで手の …

no image

クリアデスクとクリアスクリーンとは?ISMSとプライバシーマークに必須

クリアデスクとは、オフィスなどの不特定多数の人がいる所ではデスクから離席する際にデスク上に業務に関する書類を放置せずにキャビネットなど鍵のかかった場所に保管する方針の事を言います。英語ではclear …

no image

Windows 7 SP1 公開 マイクロソフト

やっとWindows 7のSP1が公開されましたね。 企業の多くは、新しいOSを導入する場合は、SP1リリース後にするところが多いです。SP1がリリースされたので、ようやく導入を開始する企業が増えてく …

ウォードライビングとは

ウォードライビング(Wardriving)とは、自動車や自転車で移動しながら無線LANのアクセスポイント(AP)を探して記録する事を言います。ウォードライビングは許可されていない無線LANにアクセスす …

広告

転職