動作ベースの攻撃検知

iNetSec MPなお話。トラフィックやりとりの動作のみが対象になりますが、ミラーポート経由で動作ログを蓄積＆分析し、異常検知っぽいことをやるらしい。ブラックリスト的なやり方ではないので、実際にまだ知られていないマルウェア（だったかな）検出した例が出始めてるとか。誤検出もあるだろうけども、そのあたりのチューニングどうするのかはまだ良く分からず。というか製品的には「検出＝ブロックではない」ので、recallをどこまで高めにしたいかというユーザ側の希望も関わってくるのだろうな。

P.S.
有名だと思うけど知らない人もいるようなので、monument valleyオススメ。