振る舞い検知

Behavior-Based Detection 防御技術

シグネチャに頼らず、システム上の異常な挙動からセキュリティ脅威を検出する手法。

概要

振る舞い検知 (Behavior-Based Detection) は、攻撃のシグネチャ (既知パターン) ではなく、システム上の振る舞い (挙動) から脅威を検出する手法です。既知の攻撃手法を網羅したパターンマッチング型の製品は、未知のゼロデイ攻撃やシグネチャ未登録の手口には対応できません。振る舞い検知は「攻撃の結果として現れる異常」を捕捉することで、未知の手口にも対応できる設計思想です。

具体的な検知対象は (1) ファイルシステムの不審な変更 (PHPファイルの突然の追加、設定ファイル改ざん)、(2) プロセスの異常起動 (/tmpからの実行ファイル起動)、(3) ネットワークの異常通信 (外部C2サーバーへの接続)、(4) サービスの突然のダウン、(5) ログインや認証の異常パターン、などです。

シグネチャ型と振る舞い型は対立するものではなく、組み合わせる多層防御が現実的です。シグネチャ型で既知の攻撃を効率よく弾き、振る舞い型で未知の侵害をキャッチする役割分担となります。

Scanrollはこう守る

Scanrollは振る舞い検知を中核に据えた設計で、Apache/Nginxのアクセスログ、サーバー上のファイル変更、プロセス起動、通信状況等を継続監視します。AIが「正常な保守作業」と「攻撃の足跡」を判別し、誤検知を抑えつつ侵害後の挙動を捕捉します。検知後はIPアドレスのブロック、不審ファイルの削除、プロセス再起動を自動実行し、被害を最小化します。