『ヒューリスティック、振る舞い検知、HIPS 違いを教えてください』 の クチコミ掲示板

[無限の空]

こんにちは。現在セキュリティについて勉強していますが、
題名に書いた3つの技術（概念）の違いがよく分からないので、
どなたか説明していただけないでしょうか。

まず、私の頭の中での意味合いは、

ヒューリスティック：亜種などの検出のため、既存のウイルスに似たコードを検出する
振る舞い検知：プロセスを監視し、不正な動作をブロックする
HIPS：既にFWで許可されてるアプリケーションを乗っ取ったりするような攻撃のパターンを検知して防ぎ、不正な通信をブロックする

上記のようなイメージでとらえているのですが、

http://www.itmedia.co.jp/enterprise/articles/0804/21/news006.html　によれば、
＞振る舞い検知技術の名称は、セキュリティベンダーによって「ヒューリスティック分析」や「ジェネリック検知」など異なる。
これだと、「ヒューリスティック＝振る舞い検知」という意味合いに取れますよね。

ITメディアの別の記事によれば、
http://www.itmedia.co.jp/enterprise/articles/0909/01/news110.html
＞IPS（不正侵入防御）や振る舞い検知などの技術を統合した「完全型HIPS」機能に加え、
この文からすれば、振る舞い検知はHIPSの機能の一部？

ところが、http://www.ps-japan.co.jp/homeuser/content0011.html　の
「先進的な事前対応型プロテクション」の項目をみると、
＞ジェネティックヒューリスティックや、TruPrevent 2.0ふるまい分析を含むテクノロジー
とあります。これによれば「ヒューリスティック≠振る舞い検知」なんでしょうか？

ところで、HIPSは比較的新しい機能（概念）と聞いていますが、
ヒューリスティック＝HIPSならば、真新しいものではないことになりますよね。
（実用性はともかく、未知のウイルス検出機能はかなり前からあったはずなので）

もう何だかわけが分かりません。
セキュリティに詳しい方、教えてください。よろしくお願いします。

書込番号：10185356

[朱雀不知火]

まず，ヒューリスティックについてですが，そもそもこれはセキュリティ分野の用語とは限りません．
「必ずしも正解ではないが，正解に近い解」という意味になります．

よって，「"ウイルスの"ヒューリスティック分析」といえば，
>ヒューリスティック：亜種などの検出のため、既存のウイルスに似たコードを検出する
この意味でほぼ間違いありません．

ウイルスに限らなければ，ヒューリスティック分析は，既存の振る舞いを学習して（振る舞い学習だけとは限りませんが･･･）分析するシステム全般のことなので，「ヒューリスティック≒振る舞い検知」と考えていいでしょう．

もしかすると，ヒューリスティックに該当する日本語がないので，苦肉の策で「振る舞い検知」としているのかもしれません．
（↑私の個人的な解釈です．）

HIPSというのは初めて聞きますが，おそらくヒューリスティク分析機構を搭載したIPS（侵入検知システム）と考えられます．
よって，ヒューリスティク≠HIPSです．
IPS＋ヒューリステック＝HIPSです．
今までIPS自体はよくありましたが，ヒューリスティクを搭載したことでHIPSとなり，"比較的新しい機能"というわけです．

まとめると，
ヒューリスティック≒振る舞い検知
ヒューリスティク≠HIPS
IPS＋ヒューリステック＝HIPS
と考えてください．

書込番号：10191354

[朱雀不知火]

訂正です．
誤：IPS（侵入検知システム）
正：IPS（侵入防止システム）

失礼しました．
紛らわしいですが，侵入検知システムはIDSです．

書込番号：10192318

[無限の空]

朱雀不知火さん、回答どうもありがとうございます。
分かりやすい説明で助かりました。
また何かありましたらよろしくお願いします。
短いお礼でごめんなさい。

書込番号：10205432