今日このURLを紹介したいです↓
http://www.extremetech.com/article2/0,,325439,00.asp
http://www.extremetech.com/article2/0,1697,367051,00.asp
↑ウイルススキャンはどう言う事だ細かい迄説明してくれた。
あっちこっち読むとセキュリティソフトって殆どスキャンエンジンが入っております。
結論は二つスキャンのやり方があって→【1】AIベースのスキャン、と、【2】パターン検索のスキャン技術があります。両方が必要です、使い方によります。セキュリティーベンダー結構使っているのは
パターン検索のスキャンです。実際このスキャンのし方はデメリットがいくつがあります。
パターン検索のデメリットは↓
(1)パターンDBを
・作って保守しなきゃ行けない
・authシステムを入れなきゃ行けない
・クライアント迄安全なdistributionシステムを作って保守しなきゃ行けない。
(2)保守
パターンたを保守しないと行け無いの理由はちゃんと検知率が出るようにやって行け無いです、じゃないとパターンは古くなるから。この為に別で必要の遣る事を増えました↓
・サンプルをゲットが出来るようなシステム。
・クライアントのプラットフォームに対応するようなパターンも考えないと行けない。
・殆どインターネットのトラフィックの関係があるから、ネットワーキングのknowhowが無いと無理ですね。
(3)RISK(リスク)・パターンは殆どネットワークでダウンロードやpushをするから、ネットワークは完璧な世界じゃないから、パターンをネットワークエラーのせいでクライアント迄distributionが出来ない可能性があります。
・パターンとエンジンの問題。パターンは鳴るべく小さくに作りますから、少しだけパターンの中でエラーがありますとクライアントはパターンを使えない状態になるのか、エンジンが止まる可能性があります。
・サービスですからダウンしてしまう状態だとありえ無いです。
※じゃぁ…メリットは??実作がありますから。それだけ。
{ マルウェア | 脆弱性 | スパム | 0day | ボットネット } のセキュリティ・ブログ
火曜日, 10月 17, 2006
水曜日, 10月 11, 2006
スパム対策の件、ベイジアンフィルタ対誤検知について
最近80%@色んなスパム対策エンジンの中にベイジアンフィルタが動いています。
ベイジアンフィルタは悪く無いだと思っておりますが、ただスパムstatisticフィルターデータベースと思って欲しいです。
statisticデータだからスパムサンプルだけ登録をしちゃうとご検知が出ます。
バランスでスパムサンプルと正しいメールマガや正しいサンプルを登録をしないと駄目です。
問題はベイジアンフィルタのデータに付いてmaintenanceは誰かやるのか、この問題は=サンプル登録の管理は誰かやるのか。
色んな幸甚情報の関係があるからISPさん達はアンチスパム開発会社にサンプルを上げると難しいですと。
アンチスパム開発会社及びベンダーはサンプルが無いと完璧なベイジアンフィルタのデータを作れ無いと。
スパムは皆の嫌いな物ですから、ご協力して欲しいのはサンプルをお願い致します。
スパムサンプルの件...
どんなサンプルが欲しいかと:
【1】未だ検知出来てないのサンプル(一番重要です、なぜなら毎日新しいスパムの技術が出ますから)
【2】ご検知のサンプル。
このサンプルの協力が出来る為に私の会社はスパムGUI登録インターフェースをWEBで作りました。一応我々のお客さんですとここから色んなサンプルをアップロードが頂きました。
ベイジアンフィルタは悪く無いだと思っておりますが、ただスパムstatisticフィルターデータベースと思って欲しいです。
statisticデータだからスパムサンプルだけ登録をしちゃうとご検知が出ます。
バランスでスパムサンプルと正しいメールマガや正しいサンプルを登録をしないと駄目です。
問題はベイジアンフィルタのデータに付いてmaintenanceは誰かやるのか、この問題は=サンプル登録の管理は誰かやるのか。
色んな幸甚情報の関係があるからISPさん達はアンチスパム開発会社にサンプルを上げると難しいですと。
アンチスパム開発会社及びベンダーはサンプルが無いと完璧なベイジアンフィルタのデータを作れ無いと。
スパムは皆の嫌いな物ですから、ご協力して欲しいのはサンプルをお願い致します。
スパムサンプルの件...
どんなサンプルが欲しいかと:
【1】未だ検知出来てないのサンプル(一番重要です、なぜなら毎日新しいスパムの技術が出ますから)
【2】ご検知のサンプル。
このサンプルの協力が出来る為に私の会社はスパムGUI登録インターフェースをWEBで作りました。一応我々のお客さんですとここから色んなサンプルをアップロードが頂きました。
土曜日, 10月 07, 2006
「EICAR」ファイルでマルウェアフィルタ機能の動作確認する方法
マルウェアフィルタのスキャン機能がちゃんとスキャンしているかどうかを確認したい方が多いと思います。「EICAR」ファイルを使えば確認が出来ますので、ここで使い方を書きます。
【eicarの情報とeicarファイルのダウンロードURLについて】
「eicar」とは?
eicarが提供しているダミーウィルス(テスト用ウィルス)はアンチウイルスツールのテストを行うためのもので、中身は68バイトのコードです。 DOSモードで実行すると「EICAR-STANDARD-ANTIVIRUS-TEST-FILE!」と表示されるだけのファイルで、実行してもまったく問題はありません。
コピーぺの為に eicar.comの中身はただの下記の文字列↓
eicarテストウィルスのページに http://www.eicar.org/anti_virus_test_file.htmファイルのダウンロードが出来ますので、URLは下記の情報となります↓
http://www.eicar.org/download/eicar.com
http://www.eicar.org/download/eicar.com.txt
http://www.eicar.org/download/eicar_com.zip
http://www.eicar.org/download/eicarcom2.zip
↑このサンプルを使って色んな確認が出来ると思っています、例え↓
1)ウイルスフィルタ機能の動作確認
2)スキャン機能の動作確認、など
【テスト内容について】
1)メールフィルタの確認について、SMTPやPOP3など、eicarファイルをメールに添付して送ればいいです。
2)HTTP、WebdavやFTPプロクシフィルタに付いて、このままで上記URLをクリックしたら確認が直ぐに出来ます。
3)他のプロトコル(P2P、IRC、など)の確認について、eicarファイル送信/受信のやり取りしながらをフィルタのテストが出来ます。
※)上記の1)2)3)のテスト上でフィルタ機能の設定を有効と無効に切り替えしながら動作確認試験を行ってください。
【注意点】
マルウェアに感染されるリスクがあるので、フィルタ機能の動作確認試験の時に成るべくeicar以外のサンプルを使わないでください。
【eicarの情報とeicarファイルのダウンロードURLについて】
「eicar」とは?
eicarが提供しているダミーウィルス(テスト用ウィルス)はアンチウイルスツールのテストを行うためのもので、中身は68バイトのコードです。 DOSモードで実行すると「EICAR-STANDARD-ANTIVIRUS-TEST-FILE!」と表示されるだけのファイルで、実行してもまったく問題はありません。
コピーぺの為に eicar.comの中身はただの下記の文字列↓
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
eicarテストウィルスのページに http://www.eicar.org/anti_virus_test_file.htmファイルのダウンロードが出来ますので、URLは下記の情報となります↓
http://www.eicar.org/download/eicar.com
http://www.eicar.org/download/eicar.com.txt
http://www.eicar.org/download/eicar_com.zip
http://www.eicar.org/download/eicarcom2.zip
↑このサンプルを使って色んな確認が出来ると思っています、例え↓
1)ウイルスフィルタ機能の動作確認
2)スキャン機能の動作確認、など
【テスト内容について】
1)メールフィルタの確認について、SMTPやPOP3など、eicarファイルをメールに添付して送ればいいです。
2)HTTP、WebdavやFTPプロクシフィルタに付いて、このままで上記URLをクリックしたら確認が直ぐに出来ます。
3)他のプロトコル(P2P、IRC、など)の確認について、eicarファイル送信/受信のやり取りしながらをフィルタのテストが出来ます。
※)上記の1)2)3)のテスト上でフィルタ機能の設定を有効と無効に切り替えしながら動作確認試験を行ってください。
【注意点】
マルウェアに感染されるリスクがあるので、フィルタ機能の動作確認試験の時に成るべくeicar以外のサンプルを使わないでください。
登録:
投稿 (Atom)