応用情報技術者 2012年 秋期 午前2 問42
問題文
ウイルス検知手法の一つであるビヘイビア法を説明したものはどれか。
選択肢
ア:ウイルスの特徴的なコード列が検査対象プログラム内に存在するかどうかを調べて、 もし存在していればウイルスとして検知する。
イ:各ファイルに、チェックサム値などウイルスではないことを保証する情報を付加しておき、 もし保証する情報が検査対象ファイルに付加されていないか無効ならば、ウイルスとして検知する。
ウ:検査対象ファイルのハッシュ値と、安全な場所に保管してあるその対象の原本のハッシュ値を比較して、もし異なっていればウイルスとして検知する。
エ:検査対象プログラムを動作させてその挙動を監視し、もしウイルスによく見られる行動を起こせばウイルスとして検知する。(正解)
ウイルス検知手法の一つであるビヘイビア法を説明したものはどれか【午前2 解説】
要点まとめ
- 結論:ビヘイビア法はプログラムの動作(挙動)を監視し、異常な行動を検知してウイルスを特定します。
- 根拠:ウイルスは特徴的なコードだけでなく、動作パターンにも特徴があるため、動作監視が有効です。
- 差がつくポイント:コードの静的解析(シグネチャ法)と異なり、未知のウイルスも検知可能な点がビヘイビア法の強みです。
正解の理由
選択肢エは「検査対象プログラムを動作させてその挙動を監視し、もしウイルスによく見られる行動を起こせばウイルスとして検知する」とあり、これはビヘイビア法の定義そのものです。動作監視により、未知のウイルスや亜種も検出できるため、ビヘイビア法の特徴を正確に表しています。
よくある誤解
ビヘイビア法はコードの特徴を調べるシグネチャ法と混同されやすいですが、動作監視に基づくため検知対象が異なります。動作を監視するため、誤検知のリスクもあります。
解法ステップ
- 問題文の「ビヘイビア法」の意味を確認する。
- 各選択肢の説明が「コード検査」か「動作監視」かを判別する。
- 動作監視を説明している選択肢を探す。
- 動作監視を説明している選択肢エを正解と判断する。
選択肢別の誤答解説
- ア:ウイルスの特徴的なコード列を検査するのはシグネチャ法であり、ビヘイビア法ではありません。
- イ:チェックサム値を利用する方法はファイルの改ざん検知であり、ビヘイビア法とは異なります。
- ウ:ハッシュ値比較もファイルの整合性確認であり、動作監視を行うビヘイビア法ではありません。
- エ:動作監視によりウイルスの挙動を検知するため、ビヘイビア法の説明として正しいです。
補足コラム
ビヘイビア法は未知のウイルスや亜種を検知できる点で優れていますが、正常なプログラムの誤検知(誤検出)や動作監視によるシステム負荷が課題です。近年はシグネチャ法と組み合わせて使われることが多いです。
FAQ
Q: ビヘイビア法はすべてのウイルスを検知できますか?
A: いいえ。動作パターンが未知の場合や巧妙に隠された場合は検知が難しいこともあります。
A: いいえ。動作パターンが未知の場合や巧妙に隠された場合は検知が難しいこともあります。
Q: シグネチャ法とビヘイビア法の違いは何ですか?
A: シグネチャ法は既知のウイルスのコードパターンを検出し、ビヘイビア法はプログラムの動作を監視して異常を検知します。
A: シグネチャ法は既知のウイルスのコードパターンを検出し、ビヘイビア法はプログラムの動作を監視して異常を検知します。
関連キーワード: ビヘイビア法、ウイルス検知、シグネチャ法、動作監視、マルウェア対策
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!