NETSCREEN-IDPによる広範囲に及ぶ攻撃の検知 〜複数検知メカニズム「Multi-Method Detection」〜
前回までにNetscreen-IDP(Intrusion Detection and Prevention)が採用している複数検知メカニズム「Multi-Method Detection」の中の1つ、「ステイトフルシグネチャ」による攻撃パターン検知技法をご紹介してきました(Scan Security Wire Vol.236(2003/07/24))。
特集
特集
今回はこの「ステイトフルシグネチャ」以外の検知メカニズムについてご紹介していきます。
現在、Netscreen-IDPでは下記の8つの検知技法を用いることによって正確かつ広範囲に渡る攻撃からの検知/防御を可能にしております。
●ステイトフルシグネチャ
●プロトコル異常検知
●トラフィック異常検知
●ネットワークハニーポット検知
●バックドア検知
●レイヤー2検知
●スプーフ検知
●DOS検知
この中から幾つか特徴的なものについて説明していきます。
●プロトコル異常検知
RFC標準ルールに準拠していない通信を検知します。
Netscreen-IDPで採用している「ステイトフルシグネチャ」が従来のシグネチャマッチング方法と比べて検知精度が飛躍的に向上していることは前回までに説明した通りです。
しかしどうしてもシグネチャベースの検知方法では既知の攻撃にのみ有効という問題に突き当たってしまうのもまた事実です。
そこで未知の攻撃に対しても最大限に効力を発揮する為に用いられている技法がこのプロトコル異常検知です。
尚、Netscreen-IDPのプロトコル異常検知ではHTTP・SMTP・POP3・DNS・FTP・DHCPなど非常に通信量の多いプロトコルはもちろんのこと、他にも様々なプロトコルに対応しておりますので、よりセキュリティレベルの高いNWを実現するソリューションの1つと考えられます。
(資料提供:NetScreen Technologies, Inc.)
ノックス株式会社
ソリューション営業部
鈴木 克利
http://www.nox.co.jp/
(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》