トラフィック監視識別技術を開発(2006年 7月13日): プレスリリース | NEC
中身を見ないプロファイリングの統計と解析という話、数年前に某所で話していたネタだったりするけど、やっぱ同じようなことを考えるんだなあ。精度によるけど、怪しい通信を識別できるのなら、それをフィルタで弾いてしまう、怪しい通信ファイアウォールもできるよね。エンジンが軽量化できるのなら、普通のクライアントマシンにモジュールとして組み込むこともできるかなあ。ごく手堅いパターンの怪しい通信だけ、出さない入れないというのをやれば、幸せになる人けっこう多いのではないかなあ。
シグネチャをもとに通信内容のかなり厳格な照らし合わせをやってるのが、現時点でのIDSの主流だけど、そんな解析にすべてフィットするようにネットワークは整然としていないことは誰しもわかっていることだし、どうしてもロスやパフォーマンス、つまりリアルタイム性に不安が残るんだよね。このやり方だとそちらの不安もかなり解消できるんだろうなあ。いちいち詳しく見なくていいわけだしね。