HOME»ネットワークスペシャリスト令和6年春期»午前Ⅱ 問20
ネットワークスペシャリスト令和6年春期 午前Ⅱ 問20
問20
マルウェアの検出手法であるビヘイビア法を説明したものはどれか。
- あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象を検査し,同じパターンがあればマルウェアとして検出する。
- マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき,検査時に不整合があればマルウェアとして検出する。
- マルウェアへの感染が疑わしい検査対象のハッシュ値と,安全な場所に保管されている原本のハッシュ値を比較し,マルウェアとして検出する。
- マルウェアへの感染によって生じるデータ読込みの動作,書込みの動作,通信などを監視して,マルウェアとして検出する。
- [出題歴]
- ネットワーク H26秋期 問20
- ネットワーク H29秋期 問16
分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策
正解
エ
解説
ビヘイビア法は、実際に検査対象のプログラムを動作させ、その挙動を監視して不正な行動があればマルウェアと判定する手法です。behaviorは「振る舞い」という意味です。
マルウェアの実際の感染・発病動作を監視して検出する手法の総称であり、書込み・複製・破壊等のプログラムの挙動だけではなく、ネットワークの異常通信など感染・発病動作によって起こる環境の様々な変化を察知する手法もこの手法に分類されます。検査対象プログラムが実際に行う危険な行為をルールベースで監視するため、未知のマルウェアであっても検出できる可能性があり、最も本質的な検出方法と言えます。ダイナミックヒューリスティック法と呼ばれることもあります。
この他にもマルウェア検出技術には次のようなものがあります。
マルウェアの実際の感染・発病動作を監視して検出する手法の総称であり、書込み・複製・破壊等のプログラムの挙動だけではなく、ネットワークの異常通信など感染・発病動作によって起こる環境の様々な変化を察知する手法もこの手法に分類されます。検査対象プログラムが実際に行う危険な行為をルールベースで監視するため、未知のマルウェアであっても検出できる可能性があり、最も本質的な検出方法と言えます。ダイナミックヒューリスティック法と呼ばれることもあります。
この他にもマルウェア検出技術には次のようなものがあります。
- コンペア法
- 検査対象ファイルと安全な場所に保管してあるファイル原本を比較して、異なっていればマルウェアとして判定する手法
- パターンマッチング法
- シグネチャコードと呼ばれる既知のマルウェアに特徴的なコードパターンをデータベース化し、検査対象のファイルがそのパターンを有していればマルウェアと判定する手法
- チェックサム法
- あらかじめファイル原本に正当性を保証する情報(チェックサムやデジタル署名など)を付加しておき、検査対象ファイルで再計算した値が異なっていればマルウェアとして判定する手法。インテグリティチェック法とも呼ばれる
- ヒューリスティック法
- マルウェアのとるであろう動作を事前に登録しておき、検査対象コードに含まれる一連の動作と比較して検出する手法
- パターンマッチング法の説明です。
- チェックサム法の説明です。
- コンペア法の説明です。
- 正しい。ビヘイビア法の説明です。