NETSCREEN−IDPによる正確な攻撃検知 | ScanNetSecurity
2021.02.25(木)

NETSCREEN−IDPによる正確な攻撃検知

〜検知精度を飛躍的に向上させた「ステイトフルシグネチャ」〜

特集 特集
〜検知精度を飛躍的に向上させた「ステイトフルシグネチャ」〜

 Netscreen-IDP(Intrusion Detection and Prevention)では「Multi-Method Detection」という複数の検知メカニズムを用いた手法により従来のIDSが抱えている検知精度の問題を大幅に解消している。
 中でも「ステイトフルシグネチャ」というパターン走査手法の採用により、正常なトラフィックも誤って検知してしまうFalse Positiveや、本来の攻撃検知を取りこぼしてしまうFalse Negativeを大幅に減少させた。

 この「ステイトフルシグネチャ」も攻撃パターンをトラフィックの中から探し出すという基本的な仕組みそのものは従来のシグネチャマッチングと変わらない。
 しかしやみくもに全てのトラフィックを走査するのではなく、セッション全体の情報を把握し、攻撃に関連する部分だけに絞って走査するという手法で検知を行う。

 下記に従来のシグネチャマッチングとステイトフルシグネチャの手法の違いを簡単に記す。

■従来のシグネチャマッチング方法

 ◆パケット単位で走査する場合・・・・
  パケット単位にパターン走査することで攻撃を発見している。
  しかし攻撃パターンの部分が複数のパケットにフラグメントされている場合はパターンに合致しないということになり、結果その攻撃の検知は行われないことになる。(False Negative)
  また、複数のパケットでパターンにマッチした場合などはそのパケットの個数分のアラートが発生する。(アラートの重複)(パケットが再送された場合も同様のことが発生)


(資料提供:NetScreen Technologies, Inc.)

ノックス株式会社
ソリューション営業部
鈴木 克利
http://www.nox.co.jp/

(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×