応用情報技術者 2013年 秋期 午前2 問41
問題文
ビヘイビア法のウイルス検出手法に当たるものはどれか。
選択肢
ア:あらかじめ検査対象に付加された、 ウイルスに感染していないことを保証する情報と、検査対象から算出した情報とを比較する。
イ:検査対象と安全な場所に保管してあるその原本とを比較する。
ウ:検査対象のハッシュ値と既知のウイルスファイルのハッシュ値とを比較する。
エ:検査対象をメモリ上の仮想環境下で実行して、 その挙動を監視する。(正解)
ビヘイビア法のウイルス検出手法に当たるものはどれか【午前2 解説】
要点まとめ
- 結論:ビヘイビア法はプログラムの挙動を監視し、異常な動作を検出する手法であり、選択肢エが正解です。
- 根拠:ウイルスの特徴的な動作を仮想環境で実行し観察することで、未知のウイルスも検出可能です。
- 差がつくポイント:ハッシュ値比較やファイルの原本比較はシグネチャ法やホワイトリスト法であり、動作監視とは異なる点を理解しましょう。
正解の理由
選択肢エは「検査対象をメモリ上の仮想環境下で実行し、その挙動を監視する」とあります。これはビヘイビア法の典型的な手法で、プログラムの動作を実際に観察してウイルス特有の振る舞いを検出します。既知のウイルスのシグネチャに依存せず、未知のウイルスも検出できる点が特徴です。
よくある誤解
ビヘイビア法は単にファイルの比較やハッシュ値の照合ではありません。これらはシグネチャベースの検出方法であり、動作監視とは異なります。
解法ステップ
- 問題文の「ビヘイビア法」に注目し、意味を確認する。
- ビヘイビア法は「動作監視型」のウイルス検出手法であることを理解する。
- 選択肢の内容を「動作監視かどうか」で分類する。
- 動作監視を示す選択肢エを正解と判断する。
選択肢別の誤答解説
- ア: ファイルに付加された情報と比較する方法はホワイトリストや整合性検査に近く、動作監視ではありません。
- イ: 原本と比較する方法はファイルの整合性チェックであり、ビヘイビア法とは異なります。
- ウ: ハッシュ値比較はシグネチャベースの検出で、既知ウイルスの識別に使われますが、動作監視ではありません。
- エ: 仮想環境で実行し挙動を監視するため、ビヘイビア法の特徴を満たしています。
補足コラム
ビヘイビア法は未知のウイルスや亜種の検出に強みがありますが、仮想環境の構築や監視のコストが高い点が課題です。近年はシグネチャ法と組み合わせて多層防御を行うことが一般的です。
FAQ
Q: ビヘイビア法は既知のウイルスしか検出できませんか?
A: いいえ、動作を監視するため未知のウイルスや亜種も検出可能です。
A: いいえ、動作を監視するため未知のウイルスや亜種も検出可能です。
Q: ハッシュ値比較はビヘイビア法ですか?
A: いいえ、ハッシュ値比較はシグネチャベースの検出方法であり、動作監視ではありません。
A: いいえ、ハッシュ値比較はシグネチャベースの検出方法であり、動作監視ではありません。
関連キーワード: ビヘイビア法、ウイルス検出、仮想環境、シグネチャ法、動作監視
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!