不正侵入の検知方法にはシグネチャ型とアノマリ型がある。その方法に関しては,過去問(H19SV午後Ⅰ問2)に詳しく記載がある。

検知方法には,シグネチャ型とアノマリ型があり,シグネチャ型は,既知の攻撃パターンに基づく攻撃とマッチングすることによって攻撃を検知し,例えば,サーバの既知の脆弱性を突いた攻撃を防ぐことができます。一方,アノマリ型は,RFCのプロトコル仕様などと比較して異常なパケットや,トラフィックを分析して統計的に異常なパケットを攻撃として検知します。
(H19SV午後Ⅰ問2より引用)

アノマリ(anomaly)という言葉は「異常な」という意味で,normal(正常)の反対として考えてもらうと覚えやすいだろう。
7a536a8a
番犬で言うと、 シグネチャ型は,「悪い人の顔」を「サングラス」「マスク」など覚えさせて,その人を見たらほえます。
 アノマリ型は,「普通の人よりキョロキョロする」「顔の露出が少ない」などの,統計的に異常な人を見たらほえるのですね。

過去問(H22年NW午後Ⅰ問3)を見てみよう
現在の構成では,  FWで通過が許可されているパケットを使った不正侵入は防御できないので,より高度な機能をもった侵入検知システム(以下, IDSという)が必要です。IDSには,監視対象のネットワークに設置するネットワーク型IDSと,監視対象のWebサーバなどにインストールする[ ア ]型IDSの2種類があります。また,侵入検知の仕組みとして,不正なパケットに関する一定のルールやパターンを使う[ イ ]型と,平常時のしきい値を超えるアクセスがあった場合に不正と見なすアノマリ型(異常検知型)の2種類があります。アノマリ型の場合,しきい値を高く設定したときだけでなく,①しきい値の設定が低すぎたときにも弊害が発生するので,注意が必要です。

・[ ア ]
 ホスト

・[ イ ]
 シグネチャ

・下線①に関して
設問「(3)本文中の下線①について,発生する弊害を,  40字以内で具体的に述べよ。」
 
 しきい値とは境目となる値のことです。アクセス数がこの値を超えると不正アクセスとみなします。反対に,この値に達しなければ不正アクセスとしてみなされません。
 しきい値を高く設定すると,大量の不正アクセスがあっても不正アクセスを検出することができません。しきい値が高すぎて,しきい値に達しないからです。
逆に,しきい値が低すぎると,通常のアクセスであっても不正アクセスとして誤検出する恐れがあります。しきい値が低いため,通常のアクセスであってもしきい値に達してしまうからです。

解答:不正な通信だけでなく適正な通信も異常として検知されてしまう。