アノマリ検知型

アノマリ検知型とは

通常のネットワークトラフィックの挙動を学習し、それと比較して異常な挙動を検知する方式のこと。

アノマリ検知型の不正検知システムでは、ネットワークトラフィックのデータを定期的に収集して学習し、通常の挙動をモデル化する。そのモデルと比較して、異常と思われるトラフィックを検知する。異常検知型の場合、未知の攻撃にも対応可能であり、シグネチャベース型よりも柔軟な検知が可能である。

ただし、アノマリ検知型は、学習のために多大な時間とリソースを必要とすることがあるため、導入には注意が必要である。また、通常のトラフィックと異常トラフィックの境界線を明確に定義することが難しく、正常なトラフィックを誤って異常と判定することがあるため、誤検知のリスクもある。

アノマリ検知型のポイント

  • 通常のネットワークトラフィックの振る舞いやパターンを学習して、それ以外の異常な振る舞いを検知することができる。
  • データを収集して学習することで、従来のシグネチャベース型と比べて新しい攻撃に対しても有効な対策ができる。
    (参考:シグネチャベース型/用語集
  • 異常を検知した場合にはアラートを発行するため、早期に対処できる。
  • 一方で、通常のトラフィックから外れたパターンも検知してしまうことがあり、誤検知が起こることがある。そのため、適切な閾値の設定や、運用時のチューニングが必要である。
  • また、学習したデータに偏りがある場合、正常なトラフィックを異常と判定してしまうことがある。これも誤検知を招くことになる。