ビヘイビア法

特徴

  • マルウェアの検出方法の一つで、振る舞い監視法ともいう。
  • 一般的なマルウェアの検出方法では、マルウェア対策用の検索ソフトウェアがもつマルウェア定義ファイル(パターンファイル)で検査対象のソフトウェアと照合するが、マルウェア定義ファイルにない新種のマルウェアに対しては効果がない。これに対応する方法の一つがビヘイビア法である。
  • 検査対象のソフトウェアを実際に動作させ、生じる事象からマルウェアかどうかを判断する。
  • 具体的には、マルウェアの感染や発病によって生じるデータの読込みと書込み動作や通信などを監視して、感染を検出する。
  • 「書き込み」「複製」「破壊」などの動作そのものの異常、「通信量・エラー量」「例外ポート通信」「不完全パケット」などが通常時により大きく増加する事象などを監視する。
  • ソフトウェアを動作させ、実環境に影響を与えないための仮想環境が必要である。

過去問

情報処理安全確保支援士試験 令和3年度 春期 午前2 問13

【出典:情報処理安全確保支援士試験 令和3年度 春期 午前2 問13(一部、加工あり)】

マルウェアの検出方法であるビヘイビア法を説明したものはどれか。

  1. あらかじめ特徴的なコードをパターンとして登録したマルウェア定義ファイルを用いてマルウェア検査対象と比較し、同じパターンがあればマルウェアとして検出する。
    →パターンマッチング法の説明です。
  2. マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき、検査時に不整合があればマルウェアとして検出する。
    →チェックサム法やインテグリティチェック法の説明です。
  3. マルウェアの感染が疑わしい検査対象のハッシュ値と、安全な場所に保管されている原本のハッシュ値を比較し、マルウェアを検出する。
    →コンペア法の説明です。
  4. マルウェアの感染や発病によって生じるデータの読込みの動作、書込みの動作、通信などを監視して、マルウェアを検出する。
    →正解

ネットワークスペシャリスト試験 平成29年度 秋期 午前2 問16

【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午前2 問16(一部、加工あり)】

ウィルスの検出方法であるビヘイビア法を説明したものはどれか。

  1. あらかじめ特徴的なコードをパターンとして登録したウィルス定義ファイルを用いてウィルス検査対象と比較し、同じパターンがあれば感染を検出する。
    →パターンマッチング法の説明です。
  2. ウィルスに感染していないことを保証する情報をあらかじめ検査対象に付加しておき、検査時に不整合があれば感染を検出する。
    →チェックサム法やインテグリティチェック法の説明です。
  3. ウィルスの感染が疑わしい検査対象を、安全な場所に保管されている原本と比較し、異なっていれば感染を検出する。
    →コンペア法の説明です。
  4. ウィルスの感染や発病によって生じるデータの読込みと書込みの動作や通信などを監視して、感染を検出する。
    →正解