勉強前イメージ
主体的か主体的じゃないか・・・?
調査
プロアクティブ検知 とは
プログラムがどのように振る舞うのかなどを分析することで不正なプログラムを検知する方法。
リスト化されたものに引っかかったものがウイルス!というわけではなく、
こういう振る舞いを多くしているのでこれはウイルスの可能性が高い!というような方法で検知を行います。
これがプロアクティブ検知になります。
プロアクティブ検知の仕組み
- ジェネリックシグネチャ
不正プログラムでも、同様のものがない場合はウイルスとみなすのが難しいです。
そこで亜種にも似たような振る舞いや特徴をしているものがあればそれはウイルスを判定する、というものです。
- コード解析
ソースコードを分析して、今まで解析してきた不正プログラムの構造と共通点があれば
それはウイルスとしてみなす ということになります。
- エミュレーション解析
隔離された、安全に試すことができる仮想環境で
不正プログラムの動作や挙動を確認し、ウイルスかどうか確かめます。
リアクティブ検知もあるよ!
リアクティブとはウイルスを解析して固有の情報を探り出します。
それを他の機器へ読み込ませてウイルスに感染しているか、していないかを確認する方法になります。
プロアクティブ検知だけ、リアクティブ検知だけすればよい というものではなく
両方併用することでよりウイルスを発見しやすくなります。
勉強後イメージ
結構前に言われてたことっぽいね?
今は振る舞い検知とかそういうことかな。。。