spam業界がまさにそんな感じ。

ツール：ブラック・ホワイトリストによるフィルタ開発
スパム：ゾンビマシンのアドレス帳利用、ランダムアドレススパム開発
ツール：NG文字列によるフィルタ開発
スパム：伏字、合成文字によるスパム開発
ツール：文章解析によるフィルタ開発
スパム：画像スパム開発
ツール：OCR技術によるフィルタ開発
スパム：captcha技術を応用したORCできない画像を開発
ツール：(……たぶん対策したんだろうなぁ。メールサイズかな？)
　　　　(spam送信側が送信サイズに耐えられなくなった可能性もある)
スパム：アスキーアートによるスパム開発(←本当)。資料(注:PDF) [symantec.com]

予想：日本でもAA職人がspam業界にリクルートされ、日本でもAA spamが出る

#全米が泣いた(AA略)

どういう検知ルールかわかりませんが、トラヒックパタンからワームがワームたるのに必須な要素
（短時間で大規模に蔓延するために必須となる挙動）をうまく見付けられたのならそれは結構デカいのでは？

プレスリリースで例示してるSlammerとかは実際に、普通じゃあり得ないぐらい大量のパケットをバラまいて
凄いスピードで流行したわけですが、このバラまく数を抑えたら流行スピードがぐっと衰えるわけで…。

変えるに変えられない特徴量を探すって意味では、この種の新しい特徴に着目するアプローチは有用だと思います。

ただ現在主流なメールベースのワームにも適用可能なのかが気になりますね。
アプリケーション層でメールアドレスの分散とか分間送信数とかを見れば応用可能なんでしょうか？

#実はそれに近い研究やってるけどID