NETSCREEN−IDPによる正確な攻撃検知

〜検知精度を飛躍的に向上させた「ステイトフルシグネチャ」〜

　Netscreen-IDP（Intrusion Detection and Prevention）では「Multi-Method Detection」という複数の検知メカニズムを用いた手法により従来のIDSが抱えている検知精度の問題を大幅に解消している。
　中でも「ステイトフルシグネチャ」というパターン走査手法の採用により、正常なトラフィックも誤って検知してしまうFalse Positiveや、本来の攻撃検知を取りこぼしてしまうFalse Negativeを大幅に減少させた。

　この「ステイトフルシグネチャ」も攻撃パターンをトラフィックの中から探し出すという基本的な仕組みそのものは従来のシグネチャマッチングと変わらない。
　しかしやみくもに全てのトラフィックを走査するのではなく、セッション全体の情報を把握し、攻撃に関連する部分だけに絞って走査するという手法で検知を行う。

　下記に従来のシグネチャマッチングとステイトフルシグネチャの手法の違いを簡単に記す。

■従来のシグネチャマッチング方法

　◆パケット単位で走査する場合・・・・
　　パケット単位にパターン走査することで攻撃を発見している。
　　しかし攻撃パターンの部分が複数のパケットにフラグメントされている場合はパターンに合致しないということになり、結果その攻撃の検知は行われないことになる。（False Negative）
　　また、複数のパケットでパターンにマッチした場合などはそのパケットの個数分のアラートが発生する。（アラートの重複）（パケットが再送された場合も同様のことが発生）

（資料提供：NetScreen Technologies, Inc.）

ノックス株式会社
ソリューション営業部
鈴木　克利
http://www.nox.co.jp/

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml