サイバーセキュリティ

異常検知 シグネチャ検知とアノマリー検知 図解サイバーセキュリティ用語

投稿日:

マカフィーやシマンテックなどのウィルス対策ソフトやSourceFireなどのIDS/IPS製品では異常検知を行う事によって、不正なトラフィックや悪意のあるコマンドを検知しています。異常検知には主にシグネチャ型とアノマリー型の2種類あり、以前はシグネチャ検知が主流でしたが、現在はシグネチャ検知とアノマリー検知を両方利用することによって効果的な検知を行います。

シグネチャ検知とアノマリー検知

シグネチャ検知は事前に「異常なパターン」を定義することが特徴ですが、逆にアノマリー検知の場合は「正常なパターン」を学習させることで、その「正常なパターン」から逸脱した動作を異常とみなす事が特徴です。

アノマリー検知とシグネチャー検知の説明

 

ウィルス対策ソフトでは毎日定義ファイル(DAT)が更新されます。この定義ファイルにはウィルスのシグネチャが定義されています。つまり、ウィルスの動作を定義してパターンマッチする動作に対してウィルスとみなすのです。この方法は既知のウィルスに対してはとても効果的ですが、未知のウィルスや亜種ウィルスに対しては効果的ではありません。なぜなら似たようなウィルスでも若干動作が違うとシグネチャが違ってくるからです。

そこで、アノマリー検知の登場です。アノマリー検知は事前に異常なデータを学習させる必要はなく、正常なデータ・動作のみを学習しておけば良いのです。そこから逸脱した動作をすればそれを異常とみなします。よって未知のウィルスや亜種にも対応できるのです。一方でアノマリー検知はフォルスポジティブの発生率が高いのでチューニングが必要となります。また、初期段階で取得した正常なデータの中に既にウィルスが紛れ込んでいたら意味がなくなってしまいます。ですので、アノマリー検知もある程度メンテナンスが必要となります。

広告

広告

-サイバーセキュリティ

関連記事

no image

Windows 7 SP1 公開 マイクロソフト

やっとWindows 7のSP1が公開されましたね。 企業の多くは、新しいOSを導入する場合は、SP1リリース後にするところが多いです。SP1がリリースされたので、ようやく導入を開始する企業が増えてく …

no image

C2サーバ、C&Cとは 図解サイバーセキュリティ用語

C2サーバの基本 攻撃者は?まずメール等を利用してユーザの端末にマルウェアを送信します。?ユーザの端末にマルウェアをインストールすることがでたら、?そのマルウェアはC2サーバ(C&C)に感染した端末の …

no image

異常検知 シグネチャ検知とアノマリー検知 図解サイバーセキュリティ用語

マカフィーやシマンテックなどのウィルス対策ソフトやSourceFireなどのIDS/IPS製品では異常検知を行う事によって、不正なトラフィックや悪意のあるコマンドを検知しています。異常検知には主にシグ …

ウォードライビングとは

ウォードライビング(Wardriving)とは、自動車や自転車で移動しながら無線LANのアクセスポイント(AP)を探して記録する事を言います。ウォードライビングは許可されていない無線LANにアクセスす …

no image

ハッカー集団Anonymous、「3月31日にインターネットをダウン」と予告

またまた興味深いニュースがありましたね。ハッカー集団Anonymousが3月31日にDNSルートサーバをDDoS攻撃してインターネットをダウンさせる、という予告をしたそうです。 専門家は「DNSサーバ …

広告

転職