未知の脅威を検知してWindowsを守る:ITpro

IT セキュリティ

SymantecがTruScanな振る舞い検知について技術説明会を開催したそうです。

ウイルスチェックにも使われているみたいですね。

シマンテックは4月,未知のマルウエアなどの脅威に対抗するための「TruScan」技術に関して,初めての技術説明会を開催した。TruScanは “振る舞い”から脅威を検知する技術。こうした技術は2005年ころからセキュリティ製品に採用され始めた。現在,企業向けのパソコン用セキュリティ・ソフトの最新版にも搭載されている。

既に同社のセキュリティ・ソフトは,既知のウイルスやワームの亜種/ファミリーなどを検出する「Bloodhound」と呼ぶ同種の技術を搭載済みで,これに加えて全く未知の脅威に対処するTruScanを導入した

振る舞い検知はプロセスの入出力をメインに監視して、動きにより危ないのをとめるという動きですね。

TruScanは,Windows OS上で動作しているすべてのプロセスやそれに関連するデータを,毎分1回,あるいは新しいプロセスが動き始めるタイミングで検査する(図1)。1分に1度のスキャンは1〜2秒と短く,「レジストリやファイルの入出力,その他の行動を常時見張るような技術よりも軽量と言える」(オブレック氏)。

これらを対象に,130〜150項目の検査を実施し,プロセスなどの特性を見極める。例えば「実行形式のバイナリのデータ・サイズが大きければ正しい特性」「スクリーンをキャプチャして外部に送ることができたり,ユーザーのキー入力を記録できれば悪意ある特性」などだ。検査する項目はコンスタントに増やし続けている。こうした検査の組み合わせからスコアを算出して,それを基に悪意があるかどうかを判定する。

企業内カスタムアプリは危険ですねw

ただこうした技術の場合,本来正常なプロセスなどを悪意あるものとみなしてしまうケースもあり,こうした誤検知をいかに少なくするかが課題になる。オブレック氏によると,「現在のところ,1万4000人が実際に検知して,その際に発生する誤検知は1件という低い割合」だという。

screenshot