未知の脅威を検知してWindowsを守る:ITpro
SymantecがTruScanな振る舞い検知について技術説明会を開催したそうです。
ウイルスチェックにも使われているみたいですね。
米シマンテックは4月,未知のマルウエアなどの脅威に対抗するための「TruScan」技術に関して,初めての技術説明会を開催した。TruScanは “振る舞い”から脅威を検知する技術。こうした技術は2005年ころからセキュリティ製品に採用され始めた。現在,企業向けのパソコン用セキュリティ・ソフトの最新版にも搭載されている。
既に同社のセキュリティ・ソフトは,既知のウイルスやワームの亜種/ファミリーなどを検出する「Bloodhound」と呼ぶ同種の技術を搭載済みで,これに加えて全く未知の脅威に対処するTruScanを導入した
振る舞い検知はプロセスの入出力をメインに監視して、動きにより危ないのをとめるという動きですね。
TruScanは,Windows OS上で動作しているすべてのプロセスやそれに関連するデータを,毎分1回,あるいは新しいプロセスが動き始めるタイミングで検査する(図1)。1分に1度のスキャンは1〜2秒と短く,「レジストリやファイルの入出力,その他の行動を常時見張るような技術よりも軽量と言える」(オブレック氏)。
これらを対象に,130〜150項目の検査を実施し,プロセスなどの特性を見極める。例えば「実行形式のバイナリのデータ・サイズが大きければ正しい特性」「スクリーンをキャプチャして外部に送ることができたり,ユーザーのキー入力を記録できれば悪意ある特性」などだ。検査する項目はコンスタントに増やし続けている。こうした検査の組み合わせからスコアを算出して,それを基に悪意があるかどうかを判定する。