ネットワークスペシャリスト 2014年 午前2 問20
問題文
ウイルス検知手法の一つであるビヘイビア法を説明したものはどれか。
選択肢
ア:ウイルスの特徴的なコード列が検査対象プログラム内に存在するかどうかを調べて、もし存在していればウイルスとして検知する。
イ:各ファイルに、チェックサム値などウイルスではないことを保証する情報を付加しておき、もし保証する情報が検査対象ファイルに付加されていないか無効ならば、ウイルスとして検知する。
ウ:検査対象ファイルのハッシュ値と、安全な場所に保管してあるその対象の原本のハッシュ値を比較して、もし異なっていればウイルスとして検知する。
エ:検査対象プログラムを動作させてその挙動を観察し、もしウイルスによく見られる行動を起こせばウイルスとして検知する。
ウイルス検知手法の一つであるビヘイビア法を説明したものはどれか【午前2 解説】
要点まとめ
- 結論:ビヘイビア法はプログラムの動作(挙動)を監視し、異常な行動を検知してウイルスを特定します。
- 根拠:ウイルスの特徴的なコード列やファイルのハッシュ値ではなく、実行時の振る舞いに注目する点が特徴です。
- 差がつくポイント:静的解析(コードやハッシュ値の比較)と動的解析(挙動観察)の違いを理解し、ビヘイビア法は後者であることを押さえましょう。
正解の理由
選択肢エは「検査対象プログラムを動作させてその挙動を観察し、もしウイルスによく見られる行動を起こせばウイルスとして検知する」とあります。これはまさにビヘイビア法の定義であり、プログラムの実行時の振る舞いを監視してウイルスを検出する動的解析手法です。したがって、正解はエです。
よくある誤解
ビヘイビア法はコードのパターンマッチングやハッシュ値の比較ではなく、実行時の動作を監視する手法です。静的解析と混同しやすいので注意が必要です。
解法ステップ
- 問題文の「ビヘイビア法」の意味を確認する。
- 各選択肢の説明が静的解析か動的解析かを判別する。
- 静的解析はコード列やハッシュ値の比較、動的解析はプログラムの挙動観察であることを理解する。
- 動的解析に該当する選択肢を選ぶ。
- 選択肢エが動的解析の説明であるため正解と判断する。
選択肢別の誤答解説
- ア:ウイルスの特徴的なコード列を検査するのはシグネチャ法であり、ビヘイビア法ではありません。
- イ:チェックサム値の有無で検知するのはファイルの改ざん検知に近く、ビヘイビア法とは異なります。
- ウ:ハッシュ値の比較も静的解析の一種であり、ビヘイビア法の説明には該当しません。
- エ:プログラムの動作を観察し、異常な挙動を検知するためビヘイビア法の正しい説明です。
補足コラム
ビヘイビア法は未知のウイルスや亜種にも対応しやすい利点がありますが、誤検知(誤って正常なプログラムをウイルスと判定すること)も起こりやすいため、他の検知手法と組み合わせて使われることが多いです。
FAQ
Q: ビヘイビア法はどのようなウイルスに強いですか?
A: 既知のシグネチャがない未知のウイルスや亜種に対しても、異常な動作を検知できるため有効です。
A: 既知のシグネチャがない未知のウイルスや亜種に対しても、異常な動作を検知できるため有効です。
Q: シグネチャ法とビヘイビア法の違いは何ですか?
A: シグネチャ法は既知のウイルスのコードパターンを検出する静的解析、ビヘイビア法はプログラムの実行時の挙動を監視する動的解析です。
A: シグネチャ法は既知のウイルスのコードパターンを検出する静的解析、ビヘイビア法はプログラムの実行時の挙動を監視する動的解析です。
関連キーワード: ビヘイビア法、ウイルス検知、動的解析、シグネチャ法、セキュリティ
\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!