図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

異常検知 シグネチャ検知とアノマリー検知 図解サイバーセキュリティ用語

投稿日:2017年3月19日 更新日:

マカフィーやシマンテックなどのウィルス対策ソフトやSourceFireなどのIDS/IPS製品では異常検知を行う事によって、不正なトラフィックや悪意のあるコマンドを検知しています。異常検知には主にシグネチャ型とアノマリー型の2種類あり、以前はシグネチャ検知が主流でしたが、現在はシグネチャ検知とアノマリー検知を両方利用することによって効果的な検知を行います。

シグネチャ検知とアノマリー検知

シグネチャ検知は事前に「異常なパターン」を定義することが特徴ですが、逆にアノマリー検知の場合は「正常なパターン」を学習させることで、その「正常なパターン」から逸脱した動作を異常とみなす事が特徴です。

アノマリー検知とシグネチャー検知の説明

ウィルス対策ソフトでは毎日定義ファイル(DAT)が更新されます。この定義ファイルにはウィルスのシグネチャが定義されています。つまり、ウィルスの動作を定義してパターンマッチする動作に対してウィルスとみなすのです。この方法は既知のウィルスに対してはとても効果的ですが、未知のウィルスや亜種ウィルスに対しては効果的ではありません。なぜなら似たようなウィルスでも若干動作が違うとシグネチャが違ってくるからです。

そこで、アノマリー検知の登場です。アノマリー検知は事前に異常なデータを学習させる必要はなく、正常なデータ・動作のみを学習しておけば良いのです。そこから逸脱した動作をすればそれを異常とみなします。よって未知のウィルスや亜種にも対応できるのです。一方でアノマリー検知はフォルスポジティブの発生率が高いのでチューニングが必要となります。また、初期段階で取得した正常なデータの中に既にウィルスが紛れ込んでいたら意味がなくなってしまいます。ですので、アノマリー検知もある程度メンテナンスが必要となります。

広告

広告

-図解サイバーセキュリティ用語

関連記事

レインボーテーブル(Rainbow Table)とは

レインボーテーブルとは、パスワードを解析するための総当たり攻撃を高速化するために、すべてのパスワード候補(文字列)に対するハッシュ値をあらかじめ計算して表にしたものです。このレインボーテーブルはパスワ …

二要素認証 図解サイバーセキュリティ用語

二要素認証とは以下の特徴を持つ要素(情報)の中から2つの要素を利用した認証方法です。 ユーザが知っている情報(Something you know) ユーザが持っている情報(Something you …

ハッシュ関数、MD5とSHAとは?

ハッシュ関数とは、あるデータをインプットとしてそのデータを要約する16進数の数列を生成する関数の事を言います。ハッシュ関数はデータ固有の値(ハッシュ値)を生成しますので、データが違うとそのハッシュ値も …

サイバー保険とは? 日本におけるサイバー保険の現状 図解サイバーセキュリティ用語

少し前まではサイバー攻撃は映画やドラマの中で行われる、めったにない事件という認識があり、時々ニュースになると非常に驚いていたと思います。しかしながら最近ではサイバー攻撃は毎日のように発生しており、誰も …

Miraiとは? 大規模なDDoSを発生させる、IoTをターゲットとしたマルウェア 図解サイバーセキュリティ用語

2016年10月に米Dyn社のDNSサービスをターゲットとしたDDoS攻撃が発生しました。このDDoS攻撃ではなんと何千万という端末から1.2テラバイト/秒のデータがDyn社のDNSサーバに送信された …