NETSCREEN−IDPによる正確な攻撃検知 | ScanNetSecurity
2022.01.19(水)

NETSCREEN−IDPによる正確な攻撃検知

〜検知精度を飛躍的に向上させた「ステイトフルシグネチャ」〜

特集 特集
〜検知精度を飛躍的に向上させた「ステイトフルシグネチャ」〜

 Netscreen-IDP(Intrusion Detection and Prevention)では「Multi-Method Detection」という複数の検知メカニズムを用いた手法により従来のIDSが抱えている検知精度の問題を大幅に解消している。
 中でも「ステイトフルシグネチャ」というパターン走査手法の採用により、正常なトラフィックも誤って検知してしまうFalse Positiveや、本来の攻撃検知を取りこぼしてしまうFalse Negativeを大幅に減少させた。

 この「ステイトフルシグネチャ」も攻撃パターンをトラフィックの中から探し出すという基本的な仕組みそのものは従来のシグネチャマッチングと変わらない。
 しかしやみくもに全てのトラフィックを走査するのではなく、セッション全体の情報を把握し、攻撃に関連する部分だけに絞って走査するという手法で検知を行う。

 下記に従来のシグネチャマッチングとステイトフルシグネチャの手法の違いを簡単に記す。

■従来のシグネチャマッチング方法

 ◆パケット単位で走査する場合・・・・
  パケット単位にパターン走査することで攻撃を発見している。
  しかし攻撃パターンの部分が複数のパケットにフラグメントされている場合はパターンに合致しないということになり、結果その攻撃の検知は行われないことになる。(False Negative)
  また、複数のパケットでパターンにマッチした場合などはそのパケットの個数分のアラートが発生する。(アラートの重複)(パケットが再送された場合も同様のことが発生)


(資料提供:NetScreen Technologies, Inc.)

ノックス株式会社
ソリューション営業部
鈴木 克利
http://www.nox.co.jp/

(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×