パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

未知のウィルスの通信も検知し、情報流出防ぐ装置」記事へのコメント

  • 「ワームの感染活動時に見られる特徴的な通信」って、具体的にどんな物なのかな?

    普通の通信を装いながら活動するワームだったら、検知できないとか・・・

    • by Anonymous Coward on 2006年01月25日 16時51分 (#870939)
      富士通の研究というわけではないですが、この分野の学会発表を何度か聞いたことがあります。
      ワームに特徴付けられる挙動の例としては、
      • 特定のポート番号へのアクセス数の増大

      • →そのポートがdefaultとなっているアプリケーションの脆弱性をついたワームが広がっている
      • DNSのMXレコードがたくさんひかれる
        →メールで感染するワームが広がっている
      みたいなものがあるみたいですね。
      親コメント
      • そんな事は知っているんだよ。俺たちの知りたいのは、特定のPCがウィルスに感染しているか否かを、どうやったら通信の特徴から判断できるのかって事さ。

        まぁ何かのオーバーフローを狙っている通信とか、SQL INJECTIONを狙っている通信とかを検出してブロックするんじゃ無いかね。
      • それって、ある程度ワーム活動の統計が取れてからじゃないと無理ですよね?
        ってことはたとえば「500件のアクセス」みたいなトリガがあったとしたら、
        それまでに感染しちゃったり活動されちゃった分はどうしようもないんでしょうか。
        完全に素人考えですが…

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

処理中...