「ウイルスの感染や発病によって生じるデータ書き込み動作の異常や通信量の異常増加などの変化を監視して、感染を検出する」(H21SC秋午前Ⅱ問8)方法を何というか。
過去問では、この問題は、「ウイルスの検出方法であるビヘイビア法の説明」として出題されている。
ビヘイビア法は振る舞い検知と考えていい。上記の問題にあるように、パターンマッチングではなく、動きを見るのだ。上記以外には、異常なプロセスが立ち上がっていないかなども見ると思う。
※振る舞い検知を動的ヒューリスティックという場合もある。

IPAの資料
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf
この資料が参考になるだろう。以下にその仕組みの解説を引用する
ビヘイビア法
 ウイルスの実際の感染・発病動作を監視して検出する場合をこの手法に分類する。感染・発病動作として「書込み動作」「複製動作」「破壊動作」等の動作そのものの異常を検知する場合だけでなく、感染・発病動作によって起こる環境の様々な変化を検知することによる場合もこの手法に分類する。例えば、「例外ポート通信・不完パケット・通信量の異常増加・エラー量の異常増加」「送信時データと受信時データの量的変化・質的変化」等がそれにあたる。

■H26秋NW午前Ⅱ
問20 ウイルス検知手法の一つであるビヘイビア法を説明したものはどれか。
ア ウイルスの特徴的なコード列が検査対象プログラム内に存在するかどうかを調べて,もし存在していればウイルスとして検知する。
イ 各ファイルに,チェックサム値などウイルスではないことを保証する情報を付加しておき,もし保証する情報が検査対象ファイルに付加されていないか無効ならば,ウイルスとして検知する。
ウ 検査対象ファイルのハッジュ値と,安全な場所に保管してあるその対象の原本のハッジュ値を比較して,もし異なっていればウイルスとして検知する。
エ 検査対象プログラムを動作させてその挙動を観察し,もしウイルスによく見られる行動を起こせばウイルスとして検知する。

ア:パターンマッチング法
イ:チェックサム法
ウ:コンペア法
エ:ビヘイビア法
正解:エ