評価事例

某国立大学様

ボットなどのマルウェア研究において、「PAシリーズ」のアプリケーション識別技術を利用し、
有効な通信解析を実現。

評価情報

導入時期：2009年2月
導入台数：1台（PA-2020）
導入ライセンス：Threat Preventionライセンス、URLフィルタリングライセンス

導入背景：

この大学の研究室では、コンピュータウイルス、ワーム、ボット、スパイウェアなどのマルウェアの解析に関する研究を進めており、マルウェアが行う通信の解析ツールとして、ネットワークを通るアプリケーションの識別ができるPAシリーズの有効性検証のため、評価導入しました。

概要：

通常、マルウェアの通信を解析する際は、独自開発したトラフィック解析ツールやプロトコル判定ツールを用いています。今回PAシリーズのアプリケーション識別機能で同様の実験を行い、トラフィックがどのように識別できるかの検証を実施しました。

導入所感：

マルウェアのトラフィック解析結果については、バッファオーバーフロー攻撃などリスクのある通信を危険な通信として検知することができました。また、ポート番号に依存しない検知を行っているため，マルウェアが通常とは異なるポート番号を用いて通信を行っている場合にも、正しくプロトコル判別ができたケースを確認しました。