ビヘイビア法

 ビヘイビア法の特徴、過去問例です。

特徴

  • ウィルスの検出方法の一つで、振る舞い監視法ともいう。
  • 一般的なウィルスの検出方法では、ウィルス対策用の検索ソフトウェアがもつウィルス定義ファイル(パターンファイル)で検査対象のソフトウェアと照合するが、ウィルス定義ファイルにない新種のウィルスに対しては効果がない。これに対応する方法の一つがビヘイビア法である。
  • 検査対象のソフトウェアを実際に動作させ、生じる事象からウィルスかどうかを判断する。
  • 具体的には、ウィルスの感染や発病によって生じるデータの読込みと書込み動作や通信などを監視して、感染を検出する。
  • 「書き込み」「複製」「破壊」などの動作そのものの異常、「通信量・エラー量」「例外ポート通信」「不完全パケット」などが通常時により大きく増加する事象などを監視する。
  • ソフトウェアを動作させ、実環境に影響を与えないための仮想環境が必要である。

過去問

平成29年度秋期ネットワークスペシャリスト試験

ウィルスの検出方法であるビヘイビア法を説明したものはどれか。
ア あらかじめ特徴的なコードをパターンとして登録したウィルス定義ファイルを用いてウィルス検査対象と比較し、同じパターンがあれば感染を検出する。
イ ウィルスに感染していないことを保証する情報をあらかじめ検査対象に付加しておき、検査時に不整合があれば感染を検出する。
ウ ウィルスの感染が疑わしい検査対象を、安全な場所に保管されている原本と比較し、異なっていれば感染を検出する。
エ ウィルスの感染や発病によって生じるデータの読込みと書込み動作や通信などを監視して、感染を検出する。

【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午前2 問16】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_am2_qs.pdf

ア あらかじめ特徴的なコードをパターンとして登録したウィルス定義ファイルを用いてウィルス検査対象と比較し、同じパターンがあれば感染を検出する。
 これは、パターンマッチングのことです。

イ ウィルスに感染していないことを保証する情報をあらかじめ検査対象に付加しておき、検査時に不整合があれば感染を検出する。
 これは、チェックサム法、または、インテグリティチェック法のことです。

ウ ウィルスの感染が疑わしい検査対象を、安全な場所に保管されている原本と比較し、異なっていれば感染を検出する。
 これは、コンペア法のことです。

エ ウィルスの感染や発病によって生じるデータの読込みと書込み動作や通信などを監視して、感染を検出する。
 正解です。

前の記事

IP電話

次の記事

DoS攻撃