ネットワークセキュリティ
アノマリベース検知
別称: 振る舞い検知, ヒューリスティック検知
定義
正常な活動のベースラインを構築し、そこからの逸脱を潜在的に悪意があるものとして検出するアプローチ。
アノマリベース検知は、統計モデル・ヒューリスティック・機械学習を用いて、ネットワーク・ホスト・ユーザ・アプリにとっての「正常」を学習し、観測された活動がそこから大きく逸脱したときにアラートを発します。シグネチャベース検知を補完し、未知の脅威、内部不正、新規マルウェア、シグネチャ化されていない潜伏型攻撃を可視化できます。UEBA、NDR/XDR の解析、NetFlow ベースの振る舞いベースライン、DNS トラフィックのプロファイリングなどに実装されます。一方で誤検知は増えがちで、正当な変更も異常に見え得るため、ベースライン期間の設計、フィードバックループ、しきい値調整、アナリストによる調査運用が不可欠です。
例
- UEBA がサービスアカウントが午前 2 時に新しい国から急に認証を行ったことを警告する。
- NDR が、デプロイがないのにデータベースサーバの送信量が 3 倍になったことを検知する。
関連用語
シグネチャベース検知
観測したトラフィック・ファイル・挙動を、既知の悪性パターン(シグネチャ)のデータベースと突き合わせて悪意ある活動を検出する手法。
侵入検知システム(IDS)
ネットワークやホストの活動を監視し、悪意のある挙動を検出してアラートを発する受動的なセキュリティ統制。トラフィックは遮断しない。
NDR(ネットワーク検知・対応)
復号トラフィック、メタデータ、フローを含むネットワーク通信を行動分析と機械学習で解析し、脅威の検知と対応のオーケストレーションを行うネットワークセキュリティ技術。
UEBA(ユーザー・エンティティ行動分析)
ユーザーやエンティティの正常な行動をベースライン化し、侵害や内部不正を示唆する統計的な逸脱を検出するセキュリティ分析手法。
Threat Hunting
Threat Hunting — definition coming soon.
Indicator of Attack (IoA)
Indicator of Attack (IoA) — definition coming soon.