勉強前イメージ
なんかの検知方法?
調査
アノマリ検知 とは
IDS/IPS での検知方法の一つ。
通常時の通信のパターンやデータ転送値の上限下限を設定しておき、
明らかに超えるような通信量や、通常時とは異なる通信先やプロトコルでの通信が発生した際は
異常とみなしてアラートを出すような仕組みになります。
また最近では機械学習やAIが活用されるケースもあります。
イメージとしてはホワイトリスト形式のような形になります。
不正を検知した状態を異常=アノマリーということから アノマリー検知 と呼ばれます。
アノマリ検知のメリデメ
メリット
通常時を設定しておいてそれ以外を異常とみなすので
怪しい動きのものは検知の対象になります。
その為、未知の脅威も検知できます。
デメリット
登録されている不正パターンの通信を検知するシグネチャ型よりも誤検知が多いです。
たまたま登録しているデータ通信量より多かったら検知の対象になるので通知が多くなる可能性があります。
勉強後イメージ
そういえば見たら前やってたな・・・
異常って英語でアノマリーって言うんや、、、
未知のやつって防ぎようのないこと多いから
こういうの設定しないといけないね。