ネットワークセキュリティ
シグネチャベース検知
別称: パターンマッチング検知
定義
観測したトラフィック・ファイル・挙動を、既知の悪性パターン(シグネチャ)のデータベースと突き合わせて悪意ある活動を検出する手法。
シグネチャベース検知は、パケット中のバイト列・ファイルハッシュ・URL の正規表現・YARA ルール・Snort/Suricata ルールなどの観測アーティファクトを、整備された既知 IOC データベースと照合して脅威を識別します。既知の脅威に対する精度が高く誤検知が少ないため、アンチウイルス、IDS/IPS、WAF、メールゲートウェイの中核エンジンとなっています。一方で、新規マルウェアや多態化された亜種、未知の TTP は、シグネチャが作成・配布されるまで検知できないため、その間は防御に空白が生じます。現代の防御スタックはシグネチャに加え、異常検知、機械学習モデル、脅威インテリジェンスを組み合わせてこのギャップを埋めます。
例
- ClamAV がマルウェアデータベースの SHA-256 と照合してファイルを検知する。
- Suricata が HTTP ボディ中の正規表現と既知の Web シェルシグネチャの一致でアラートを発する。
関連用語
アノマリベース検知
正常な活動のベースラインを構築し、そこからの逸脱を潜在的に悪意があるものとして検出するアプローチ。
侵入検知システム(IDS)
ネットワークやホストの活動を監視し、悪意のある挙動を検出してアラートを発する受動的なセキュリティ統制。トラフィックは遮断しない。
侵入防止システム(IPS)
データパスにインラインで配置され、悪意のあるトラフィックを検知してリアルタイムに遮断・リセット・浄化する能動的なセキュリティ統制。
ディープパケットインスペクション(DPI)
ヘッダだけでなくパケットのペイロード全体を検査し、アプリケーション・コンテンツ・脅威を識別する技術。
Malware Analysis
Malware Analysis — definition coming soon.
EPP(エンドポイント保護プラットフォーム)
アンチウイルス、アンチマルウェア、ホストファイアウォール、エクスプロイト対策などを統合し、デバイス上での脅威実行前にブロックする予防型エンドポイントセキュリティ製品群。