動作ベースの攻撃検知

Share on:

iNetSec MPなお話。トラフィックやりとりの動作のみが対象になりますが、ミラーポート経由で動作ログを蓄積&分析し、異常検知っぽいことをやるらしい。ブラックリスト的なやり方ではないので、実際にまだ知られていないマルウェア(だったかな)検出した例が出始めてるとか。誤検出もあるだろうけども、そのあたりのチューニングどうするのかはまだ良く分からず。というか製品的には「検出=ブロックではない」ので、recallをどこまで高めにしたいかというユーザ側の希望も関わってくるのだろうな。

P.S.
有名だと思うけど知らない人もいるようなので、monument valleyオススメ。