振る舞い検知 (ボットネット検知)
次世代ファイアウォールは振る舞いをベースとしたメカニズムを用いてボットネットを検知します。
次世代ファイアウォールで取得した以下の各種ログをもとに、トラフィックタイプに応じた複数の判定基準によるしきい値チェックを行い、基準を超えた通信を行った端末をボットに感染した可能性があると判断します。
- トラフィックログ
- スレットログ(アンチウイルス/アンチスパイウェア/IPSなど)
- URLフィルタリングログ
- データフィルタリングログ
例えば、ある端末の振る舞いがボットネットの振る舞いにマッチしたと判断されると、次世代ファイアウォールはその端末に対して5段階の信頼スコアを付けます。
次世代ファイアウォールは、この信頼スコアに基づいて24時間ごとに感染の可能性のある端末のリストを生成します。