資格試験で学んだもののあれこれどっちだっけとなるのでここではっきりさせる。
シグネチャ型
そもそも語源としてラテン語の「signatus(署名する、印をつける)」からきている。
転じて、悪い通信パターンやウイルスの挙動に印をつけて、登録しておくこととイメージ出来る。
指名手配ポスター的なイメージ
アノマリ型
これも語源としてギリシャ語の「anomalos(不均一、変則)」からきている。
転じて、規則に反した行動や挙動をしたウイルスなどを検知し学習する。
街の見守り隊的なイメージ
違いについて箇条書きでまとめる。
検出原理の違い
・シグネチャ型:既知の脅威パターンのデータベースと照合して検出
・アノマリ型:通常の行動パターンからの逸脱を検出
事前知識の必要性
・シグネチャ型:既知の脅威の特徴を事前に定義する必要がある。
・アノマリ型:「正常」な状態を学習するだけでよく、脅威の事前知識は必ずしも必要ない。
新種の脅威への対応
・シグネチャ型:新種の脅威は検出できない。
・アノマリ型:未知の脅威でも異常行動として検出できる可能性がある。
誤検出
・シグネチャ型:パターンが一致するかの二択なので、誤検出は比較的少ない。
・アノマリ型:正常な動作の変動も「異常」と誤検出しやすい。