ヒューリスティック(行動)ベース検知とは
ヒューリスティック(行動)ベース検知(Behavior-Based Detection)は、通常のトラフィックパターンをベースラインとして異常なトラフィックを監視します。
「通常とは異なる」活動を検出することで、比較的新しい・未対応の脆弱性に対しても検知が望めます。
静的な検知と動的な検知
ヒューリスティックベース検知には、静的な検知方法と動的な検知方法の2種類があります。
静的な検知方法は、怪しいと思ったファイルを実行せずに検査する方法であり、不審なコードがあるかないかで判断されます。
動的な検知方法は、怪しいと思ったファイルを実際に実行し、どんなファイルを生成しどのようなシステム設定を変更し、ネットワークを利用しているかどうかなどを確認します。
システムテストの手法での静的なテスト方法と動的なテスト方法の分け方と同じであり、目的がバグなのか攻撃なのかの違いです。
どのように回避してくるのか?
ヒューリスティックベースの検知は、新しい脆弱性に対応できるとは言ったが、万能ではありません。回避されるケースもあります。
例えば、静的なヒューリスティックベース検知の場合には、コードを難読化しておくことが考えられます。そうすることで、同じ行動をするけれども静的な検知条件からは外れてしまい、検知から逃れられてしまいます。
また、動的なヒューリスティックベース検知の場合には、処理の実行を正規のプログラムに任せることが考えられます。一つ一つの処理は正しいけど、全体としてやっていることは最悪ということです。そうすると、正規のプログラムの実行部分はセキュリティソフトがまともだと判定してしまい、検知を逃れる可能性があります。
