ヒューリスティック法とは

ヒューリスティック法(heuristic method)とは、ウィルスを検知する手法の一つで、ウィルスがとるであろう挙動をあらかじめ登録しておき、検査対象コードに含まれる挙動と比較して検知する方法である。

ヒューリスティック法を使ったウィルス検知では、ウィルス定義ファイルを用いたパターンマッチング法などでは検知できない、未知のウィルスや、既存のウィルスを部分的に改変した亜種のウィルスを検知することも可能である。

なお、ヒューリスティック法は、静的ヒューリスティック法と動的ヒューリスティック法の二つに分けることができ、静的ヒューリスティック法を単にヒューリスティック法と呼ぶこともある。

静的ヒューリスティック法(static heuristic method、スタティックヒューリスティック法)は、検査対象コードを実行させずに、あらかじめ登録してある挙動と、検査対象コードに含まれる一連の挙動とを比較してウィルスを検知する方法である。

動的ヒューリスティック法(dynamic heuristic method、ダイナミックヒューリスティック法)は、ビヘイビア法、あるいは振る舞い検知法などとも呼ばれ、検査対象コードを実行し、その振る舞いを監視して、危険な挙動を検知する方法である。検査対象コードを実行するために、実マシン環境を使う方法と、仮想的な実行環境を使う方法がある。動的ヒューリスティック法では、静的ヒューリスティック法では検知できない暗号化などのステルス技術を使ったウィルスも検知することが可能である。

ウィルスの「ステルス技術」について
未知ウイルス検出技術に関する調査(IPA)

セキュリティ用語辞典一覧ページへ

関連キーワード:

ウィルス

ビヘイビア法

振る舞い検知法

検査対象コード

  • K子のさらにセキュアな日常 Vol.2 企業の無線LAN活用に潜む"思わぬ落とし穴"に注意
  • カテゴリートップへ
  • シグネチャーコードとは