アノマリ検知とは、通常時からの逸脱を示すデータや挙動を「異常(アノマリー)」として検出する技術です。機械学習を用いて正常なパターンを学習させ、それから外れる挙動を不審なものと見なします。主な活用例は、未知のサイバー攻撃や不正アクセス、システム障害の予兆、金融取引における不正行為の発見など多岐にわたります。
アノマリ検知の仕組み
- 正常パターンの学習:アノマリ検知システムは、ネットワーク通信、システム性能、ユーザー行動などの通常のパターンを分析し、ベースラインとなる正常値を学習します。
- 逸脱の検出:リアルタイムのデータや挙動を学習した正常パターンと比較し、ベースラインから大きく外れるものを「異常」と判断します。
- アラートの発行:検出された異常に対しては、管理者に通知する、あるいは自動的に対策を実行する(コンポーネントの再起動など)などのアクションが取られます。
アノマリ検知のメリット
- 未知の脅威への対応:既知の攻撃パターンに依存しないため、シグネチャ検知では難しい未知の脅威やゼロデイ攻撃に対応できます。
- 早期の異常発見:微細な変化や普段と異なる挙動を早期に検知し、インシデントの拡大を防ぐことができます。
アノマリ型とシグネチャ型
それぞれ通信のチェック方法が異なり、「アノマリ型」は正常な通信を定義しておき、定義したパターンと通信を照らし合わせ不正な通信かどうかを判断します。 「シグネチャ型」は異常な通信を定義しておき、定義したパターンと通信が合致するかどうかで不正な通信かどうか判断します。
コメント