予想問題vol.8 問41
問41
ウイルスの検出手法であるビヘイビア法を説明したものはどれか。
- あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いてウイルス検査対象と比較し,同じパターンがあれば感染を検出する。
- ウイルスに感染していないことを保証する情報をあらかじめ検査対象に付加しておき,検査時に不整合があれば感染を検出する。
- ウイルスの感染が疑わしい検査対象を,安全な場所に保管されている原本と比較し,異なっていれば感染を検出する。
- ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して,感染を検出する。
- [出典]
- 情報セキュリティ H25春期 問13
分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策
正解
エ
解説
ビヘイビア法は、実際に検査対象のプログラムを動作させ、その挙動を監視して不正な行動があればマルウェアと判定する手法です。behaviorは「振る舞い」という意味です。
マルウェアの実際の感染・発病動作を監視して検出する手法の総称であり、書込み・複製・破壊等のプログラムの挙動だけではなく、ネットワークの異常通信など感染・発病動作によって起こる環境の様々な変化を察知する手法もこの手法に分類されます。検査対象プログラムが実際に行う危険な行為をルールベースで監視するため、未知のマルウェアであっても検出できる可能性があり、最も本質的な検出方法と言えます。ダイナミックヒューリスティック法と呼ばれることもあります。
この他にもマルウェア検出技術には次のようなものがあります。
マルウェアの実際の感染・発病動作を監視して検出する手法の総称であり、書込み・複製・破壊等のプログラムの挙動だけではなく、ネットワークの異常通信など感染・発病動作によって起こる環境の様々な変化を察知する手法もこの手法に分類されます。検査対象プログラムが実際に行う危険な行為をルールベースで監視するため、未知のマルウェアであっても検出できる可能性があり、最も本質的な検出方法と言えます。ダイナミックヒューリスティック法と呼ばれることもあります。
この他にもマルウェア検出技術には次のようなものがあります。
- コンペア法
- 検査対象ファイルと安全な場所に保管してあるファイル原本を比較して、異なっていればマルウェアとして判定する手法
- パターンマッチング法
- シグネチャコードと呼ばれる既知のマルウェアに特徴的なコードパターンをデータベース化し、検査対象のファイルがそのパターンを有していればマルウェアと判定する手法
- チェックサム法
- あらかじめファイル原本に正当性を保証する情報(チェックサムやデジタル署名など)を付加しておき、検査対象ファイルで再計算した値が異なっていればマルウェアとして判定する手法。インテグリティチェック法とも呼ばれる
- ヒューリスティック法
- マルウェアのとるであろう動作を事前に登録しておき、検査対象コードに含まれる一連の動作と比較して検出する手法
- パターンマッチング法の説明です。
- チェックサム法の説明です。
- コンペア法の説明です。
- 正しい。ビヘイビア法の説明です。