目的
マルウェア感染を未然に防ぐことに加えて、感染を早期に検出する。
効果
ユーザのウェブブラウジングのアクセス先の多様性の影響を除外することでホワイトリスト作成の困難さを軽減し、リスト漏れによる誤検知(ユーザビリティの低下)を抑えつつ高い検知率を実現できる。
マルウェアの行う不正通信のみを検知可能となる。
ホストコンピュータ上またはネットワーク上のみで観測するよりも、マルウェアによる検知回避を困難にすることができる。
特に、高いセキュリティが求められる企業や官公庁などの組織内ネットワークに導入することで、マルウェア感染の早期検知が可能になり、情報漏洩等の被害軽減が期待できる。
技術概要
監視対象のホストが、ゲートウェイを通じてネットワークに接続され、他のホストとパケット通信を行う構成で適用する。ゲートウェイには全通信を観測するゲートウェイセンサを設け、かつ、監視対象のホストにはWebサイト閲覧ソフトによる通信を観測するホストセンサを設ける。まず、何もしない場合のアクセス先を抽出し、ホワイトリストを作成する。また、ゲートウェイセンサで、上記ホストによるすべてのアクセス先を抽出し、この抽出からホストセンサによるアクセス先を除いて暫定的ブラックリストを作る。この暫定的ブラックリストからホワイトリストのアクセス先を除外してブラックリストを作成する。ゲートウェイがブラックリストを参照することでマルウェアの行う不正通信を検出し警告を発する。これを、一定時間ごとに行う。