シグネチャベース型

シグネチャベース型とは

既知の攻撃パターンをあらかじめ事前に登録しておき、それと一致する通信を検出して攻撃を検知する方法。

シグネチャは、攻撃パターンの特徴を表すデータであり、シグネチャベース型の不正検知システムでは、通信データをシグネチャと照合することで、攻撃を検知する。

例えば、特定のマルウェアが使用するポート番号やパケットの構造などをシグネチャとして登録し、通信データと照合することで、そのマルウェアによる攻撃を検知することができる。ただし、新たな攻撃パターンが発見された場合には、新たなシグネチャを登録する必要がある。

シグネチャベース型のポイント

パターンマッチングによる検知

シグネチャベース型の不正検知システムは、既知の攻撃パターンを定義し、それに一致する通信を検知することで攻撃を検知する。つまり、攻撃の特徴をあらかじめ把握し、その特徴を持つ通信を検知することができる。

リアルタイム性の高さ

シグネチャベース型の不正検知システムは、パターンマッチングによる検知が主なため、検知処理が高速に行われる。そのため、リアルタイム性が高く、攻撃を素早く検知することができる。

ファルスポジティブの可能性

シグネチャベース型の不正検知システムは、既知の攻撃パターンを基に検知するため、新しい攻撃や既存の攻撃パターンを変形させた攻撃など、未知の攻撃に対しては検知が難しくなる。また、正常な通信でも攻撃パターンに一致する可能性があるため、誤検知の可能性がある。

アップデートの必要性

攻撃パターンが新しく発見された場合や攻撃手法が変化した場合には、シグネチャを更新する必要がある。そのため、定期的なアップデートが必要である。

運用コストが低い

シグネチャベース型の不正検知システムは、導入が容易で運用コストが低いため、小規模なネットワークや中小企業でも導入しやすいという特徴がある。