ネットワークスペシャリスト 2017年 午前2 問16
問題文
ウイルスの検出手法であるビヘイビア法を説明したものはどれか。
選択肢
ア:あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いてウイルス検査対象と比較し、同じパターンがあれば感染を検出する。
イ:ウイルスに感染していないことを保証する情報をあらかじめ検査対象に付加しておき、検査時に不整合があれば感染を検出する。
ウ:ウイルスの感染が疑わしい検査対象を、安全な場所に保管されている原本と比較し、異なっていれば感染を検出する。
エ:ウイルスの感染や発病によって生じるデータの読込みと書込み動作や通信などを監視して、感染を検出する。
ウイルスの検出手法「ビヘイビア法」【午前2 解説】
要点まとめ
- 結論:ビヘイビア法はウイルスの動作(振る舞い)を監視し、不審な動作を検出して感染を判別します。
- 根拠:ウイルス定義ファイルを使うパターンマッチング法とは異なり、未知のウイルスも検出可能です。
- 差がつくポイント:動作監視により未知ウイルスや亜種にも対応できる点がビヘイビア法の最大の特徴です。
正解の理由
選択肢エは「ウイルスの感染や発病によって生じるデータの読込みと書込み動作や通信などを監視して、感染を検出する」とあり、これはウイルスの振る舞い(ビヘイビア)を監視する手法の説明に合致します。ビヘイビア法はウイルスの動作パターンを監視し、異常な動作を検知するため、未知のウイルスにも対応可能です。
よくある誤解
パターンマッチング法(シグネチャ法)とビヘイビア法を混同しやすいですが、前者は既知ウイルスのコードパターンを検出する方法であり、動作監視ではありません。
解法ステップ
- 問題文の「ビヘイビア法」の意味を確認する。
- 選択肢の説明が「動作監視」か「コードパターン検出」かを区別する。
- 動作監視を説明している選択肢を選ぶ。
- 他の選択肢はパターンマッチングやファイル比較など別手法であることを理解する。
- 正解は動作監視を説明する選択肢エであると判断する。
選択肢別の誤答解説
- ア:ウイルス定義ファイルを使ったパターンマッチング法の説明であり、ビヘイビア法ではありません。
- イ:検査対象に感染していないことを保証する情報を付加する方法はホワイトリスト的な手法であり、ビヘイビア法とは異なります。
- ウ:原本と比較して異なれば感染とする方法はファイル整合性検査であり、動作監視ではありません。
- エ:動作監視によるウイルス検出を説明しており、ビヘイビア法の正しい説明です。
補足コラム
ビヘイビア法は未知のウイルスや亜種の検出に強みがありますが、誤検知(誤判定)が発生しやすい欠点もあります。近年はパターンマッチングとビヘイビア法を組み合わせた多層防御が主流です。
FAQ
Q: ビヘイビア法は既知ウイルスだけを検出できますか?
A: いいえ、動作を監視するため未知のウイルスや亜種も検出可能です。
A: いいえ、動作を監視するため未知のウイルスや亜種も検出可能です。
Q: パターンマッチング法とビヘイビア法の違いは何ですか?
A: パターンマッチング法は既知ウイルスのコードパターンを検出し、ビヘイビア法はウイルスの動作を監視して検出します。
A: パターンマッチング法は既知ウイルスのコードパターンを検出し、ビヘイビア法はウイルスの動作を監視して検出します。
関連キーワード: ウイルス検出、ビヘイビア法、パターンマッチング、動作監視、セキュリティ
\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!