異常検出について
センサーの異常検出コンポーネントでは、ワームに感染したホストが検出されます。これによりセンサーでは、Code Red や SQL Slammer などのワームやスキャナからの保護に際してシグニチャ更新への依存度が低くなります。異常検出コンポーネントでは、センサーが正常なアクティビティを学習し、正常な動作として学習した動作から逸脱する動作に対してアラートを送信するか、または動的応答アクションを実行します。
(注) |
異常検出では、Nimda などの電子メール ベースのワームは検出されません。 |
異常検出では、次の 2 つの状況が検出されます。
-
ワーム トラフィックによって輻輳し始めたパスでネットワークが起動した場合。
-
ワームに感染した単一のソースがネットワークに入り、他の脆弱なホストのスキャンを開始した場合。
ここでは、異常検出についてより詳細に説明します。
ワーム ウイルス
ワーム ウイルスは、自身のコピーを作成してその拡散を促進する自動化された自己伝播型侵入エージェントです。ワーム ウイルスは脆弱なホストを攻撃して感染させ、そのホストをベースとして使用して他の脆弱なホストを攻撃します。ネットワーク インスペクションの 1 つの形式(通常はスキャン)を使用して他のホストを検索し、次のターゲットに伝播します。スキャニング ワーム ウイルスは、プローブする IP アドレスのリストを収集することで脆弱なホストを特定し、ホストにアクセスします。Code Red ワーム、Sasser ワーム、Blaster ワーム、および Slammer ワームは、この方法で広がるワームの例です。
異常検出では、スキャナとして動作している、ワームに感染したホストを識別します。ワーム ウイルスは、拡散するために新しいホストを見つける必要があります。TCP、UDP、およびその他のプロトコルを使用してインターネットをスキャンして、異なる宛先 IP アドレスへの失敗するアクセス試行を生成することでホストを見つけます。スキャナは、非常に多くの宛先 IP アドレスに対して(TCP および UDP で)同じ宛先ポートにイベントを生成する送信元 IP アドレスとして定義されます。
TCP にとって重要なイベントは、特定の時間内に SYN-ACK 応答のない SYN パケットなど、未確立の接続です。TCP を使用してスキャンする、ワームに感染したホストは、異常な数の IP アドレスに対して同じ宛先ポートに未確立接続を生成します。
UDP にとって重要なイベントは、すべてのパケットが一方向にのみ流れる UDP 接続など、一方向の接続です。UDP を使用してスキャンする、ワームに感染したホストは、UDP パケットを生成しますが、複数の宛先 IP アドレスに対して同じ宛先ポートでタイムアウト期間内に同じ IP アドレス上で UDP パケットを受信しません。
ICMP(プロトコル番号 1)など、その他のプロトコルにとって重要なイベントは、送信元 IP アドレスから多数のさまざまな宛先 IP アドレス、すなわち、一方向でのみ受信されるパケットです。
注意 |
ワーム ウイルスが感染先の IP アドレスのリストを持っていて、拡散のためにスキャンを使用する必要がない場合(たとえば、パッシブ マッピングを使用する場合は、アクティブ スキャニングとは対照的に、ネットワークをリスニングします)、異常検出ワーム ポリシーでは検出されません。感染したホスト内でファイルをプローブしてメーリング リストを受信し、このリストを電子メールで送信するワーム ウイルスは、レイヤ 3 またはレイヤ 4 の異常を生成しないため、検出されません。 |
異常検出モード
異常検出はまず、ネットワークの最も正常な状態が反映される「正常時」の学習プロセスを実行します。次に、異常検出は正常なネットワークに最適な一連のポリシーしきい値を生成します。この処理は、初期の学習モード フェーズとそれに続く進行中の動作検出モード フェーズの 2 つのフェーズで行われます。
異常検出には次のモードがあります。
-
学習受け入れモード(初期設定)
異常検出はデフォルトで検出モードになっていますが、デフォルトで 24 時間、初期の学習受け入れモードを実行します。このフェーズ中は攻撃が行われないことを前提とします。異常検出では、ナレッジ ベースと呼ばれるネットワーク トラフィックの初期ベースラインが作成されます。定期スケジュールのデフォルトの間隔値は 24 時間で、デフォルトのアクションは循環です。これは、新しいナレッジ ベースが保存およびロードされ、24 時間後に初期ナレッジ ベースが置換されることを意味します。
次の点を考慮してください。
-
異常検出は、空の初期ナレッジ ベースを処理するときには攻撃を検出しません。デフォルトの 24 時間が経過すると、ナレッジ ベースが保存されてロードされ、異常検出が攻撃を検出するようになります。
-
ネットワークの複雑さによっては、異常検出の学習受け入れモードをデフォルトの 24 時間よりも長くした方がよい場合もあります。モードは仮想センサーポリシーで設定します。仮想センサーの定義を参照してください。学習期間が終了した後、仮想センサーを編集し、検出モードに変更します。
-
検出モード
操作の進行中は、センサーを検出モードのままにする必要があります。これは 1 日 24 時間、週 7 日間実行します。ナレッジ ベースが作成され、初期ナレッジ ベースが置換されたあとで、異常検出はそのナレッジ ベースに基づいて攻撃を検出します。ナレッジ ベースのしきい値に違反するネットワーク トラフィック フローを見つけると、アラートを送信します。異常検出が異常を探すとき、しきい値に違反しない漸進的な変化がナレッジ ベースに記録され、新しいナレッジ ベースが作成されます。新しいナレッジ ベースは定期的に保存され、古いナレッジ ベースを置き換えるため、最新のナレッジ ベースが維持されます。
-
非アクティブ モード
異常検出は、非アクティブ モードにすることでオフにできます。センサーが非対称環境で稼働している場合など、特定の状況では、異常検出を非アクティブ モードにする必要があります。異常検出では、トラフィックが両方向から来ることを前提とするため、センサーがトラフィックの一方向だけを参照するように設定されている場合は、異常検出によってすべてのトラフィックに不完全な接続(スキャナ)があるものと識別され、すべてのトラフィック フローについてアラートが送信されます。
次の例で、デフォルトの異常検出設定についてまとめます。仮想センサーを午後 11:00 に追加して、デフォルトの異常検出設定を変更しなかった場合、異常検出は初期ナレッジ ベースを使用して動作を開始し、学習のみを実行します。これは検出モードですが、情報を 24 時間収集して初期ナレッジ ベースを置換するまで、攻撃は検出されません。最初の開始時刻(デフォルトでは午前 10:00)および最初の間隔(デフォルトでは 24 時間)に、学習結果が新しいナレッジ ベースに保存され、このナレッジ ベースがロードされて初期ナレッジ ベースを置換します。異常検出はデフォルトで検出モードとなるため、新しいナレッジ ベースを使用して攻撃の検出を開始します。
異常検出ゾーン
ネットワークをゾーンに分割することで、偽陰性の率を低下させることができます。ゾーンは、宛先 IP アドレスのセットです。内部、不正、外部の 3 つのゾーンがあり、それぞれに独自のしきい値があります。
外部ゾーンは、デフォルトのインターネット範囲(0.0.0.0 ~ 255.255.255.255)を持つデフォルトのゾーンです。デフォルトでは、内部ゾーンと不正ゾーンには IP アドレスは含まれません。内部ゾーンまたは不正ゾーンに含まれる IP アドレスのセットに一致しないパケットは、外部ゾーンで処理されます
内部ネットワークの IP アドレス範囲を使用して内部ゾーンを設定することを推奨します。このように設定すると、内部ゾーンには内部ネットワークの IP アドレス範囲に到着するすべてのトラフィックが含まれ、外部ゾーンにはインターネットに送信されるすべてのトラフィックが含まれます。
不正ゾーンには、割り当てられていない IP アドレスや、使用されていない内部 IP アドレス範囲に属する IP アドレスなど、正常なトラフィックに存在してはならない IP アドレスの範囲を設定できます。不正ゾーンには適正なトラフィックが到達しないと想定されるため、このゾーンは正確な検出に非常に役立ちます。これにより、非常に迅速なワーム ウイルス検出を可能にする非常に低いしきい値を設定できます。
異常検出をオフにする場合について
異常検出では、トラフィックは双方向であると見なされます。センサーがトラフィックの一方向だけを参照するように設定されている場合は、異常検出をオフにする必要があります。そうしないと、異常検出が非対称環境で実行されている場合に、すべてのトラフィックに不完全な接続(スキャナ)があるものと識別され、すべてのトラフィック フローについてアラートが送信されます。
Virtual Sensors ポリシーで、異常検出をオフにします。異常検出をディセーブルにする仮想センサーを編集し、[Anomaly Detection Mode] を [Inactive] に変更します。仮想センサーの編集に関する詳細については、仮想センサーのポリシーの編集を参照してください。
異常検出シグニチャの設定
トラフィック異常エンジンには、3 つのプロトコル(TCP、UDP、およびその他)をカバーする 9 つの異常検出シグニチャが含まれます。各シグニチャには 2 つのサブシグニチャがあります。一方はスキャナ用で、もう一方はワームに感染したホスト(またはワーム攻撃されているスキャナ)用です。異常検出は、異常を検出すると、これらのシグニチャのアラートをトリガーします。すべての異常検出シグニチャは、デフォルトでイネーブルになり、各シグニチャのアラート重大度は高く設定されます。
スキャナが検出されても、ヒストグラム異常が発生しない場合、スキャナ シグニチャはその攻撃者(スキャナ)の IP アドレスをファイルに保存します。ヒストグラム シグニチャがトリガーされた場合は、スキャンを行っている攻撃者のアドレスによってそれぞれ(スキャナ シグニチャではなく)ワーム シグニチャがトリガーされます。ヒストグラムがトリガーされているので、アラートの詳細には、ワーム検出に使用されたしきい値が表示されます。その時点から、すべてのスキャナがワーム感染ホストとして検出されます。
次の異常検出イベント アクションが可能です。
-
Produce alert:イベント ストアにイベントを書き込みます。
-
Deny attacker inline:(インラインのみ)指定された期間、この攻撃者のアドレスから発生した現在のパケットおよび将来のパケットを送信しません。
-
Log attacker packets:攻撃者のアドレスが含まれているパケットに対する IP ロギングを開始します。
-
Deny attacker service pair inline:送信元 IP アドレスと宛先ポートをブロックします。
-
Request SNMP trap:トラップ通知を SNMP トラップ宛先に送信します。このアクションを使用するには、SNMP の設定の説明に従って SNMP トラップ ホストを設定する必要があります。
-
Request block host:要求を ARC に送信して、このホスト(攻撃者)をブロックします。このアクションを使用するには、IPS のブロッキングおよびレート制限の設定の説明に従ってデバイスのブロックを設定する必要があります。
Signatures ポリシーでシグニチャにアクションを直接追加するか、Event Actions Overrides ポリシーでリスク レーティングに基づいてシグニチャにより生成されたイベントにアクションを追加できます。
次の表に、異常検出ワーム シグニチャのリストを示します。
シグネチャ ID |
サブシグニチャ ID |
名前 |
説明 |
---|---|---|---|
13000 |
[0] |
Internal TCP Scanner |
内部ゾーンで TCP プロトコル上に単一スキャナを識別しました。 |
13000 |
1 |
Internal TCP Scanner |
内部ゾーンで TCP プロトコル上にワーム攻撃を識別しました。TCP ヒストグラムのしきい値を超え、TCP プロトコル上にスキャナが識別されました。 |
13001 |
[0] |
Internal UDP Scanner |
内部ゾーンで UDP プロトコル上に単一スキャナを識別しました。 |
13001 |
1 |
Internal UDP Scanner |
内部ゾーンで UDP プロトコル上にワーム攻撃を識別しました。UDP ヒストグラムのしきい値を超え、UDP プロトコル上にスキャナが識別されました。 |
13002 |
[0] |
Internal Other Scanner |
内部ゾーンでほかのプロトコル上に単一スキャナを識別しました。 |
13002 |
1 |
Internal Other Scanner |
内部ゾーンでその他のプロトコル上にワーム攻撃を識別しました。その他のヒストグラムのしきい値を超え、その他のプロトコル上にスキャナが識別されました。 |
13003 |
[0] |
External TCP Scanner |
外部ゾーンで TCP プロトコル上に単一スキャナを識別しました。 |
13003 |
1 |
External TCP Scanner |
外部ゾーンで TCP プロトコル上にワーム攻撃を識別しました。TCP ヒストグラムのしきい値を超え、TCP プロトコル上にスキャナが識別されました。 |
13004 |
[0] |
External UDP Scanner |
外部ゾーンで UDP プロトコル上に単一スキャナを識別しました。 |
13004 |
1 |
External UDP Scanner |
外部ゾーンで UDP プロトコル上にワーム攻撃を識別しました。UDP ヒストグラムのしきい値を超え、UDP プロトコル上にスキャナが識別されました。 |
13005 |
[0] |
External Other Scanner |
外部ゾーンでその他のプロトコル上に単一スキャナを識別しました。 |
13005 |
1 |
External Other Scanner |
外部ゾーンでその他のプロトコル上にワーム攻撃を識別しました。その他のヒストグラムのしきい値を超え、その他のプロトコル上にスキャナが識別されました。 |
13006 |
[0] |
Illegal TCP Scanner |
不正ゾーンで TCP プロトコル上に単一スキャナを識別しました。 |
13006 |
1 |
Illegal TCP Scanner |
不正ゾーンで TCP プロトコル上にワーム攻撃を識別しました。TCP ヒストグラムのしきい値を超え、TCP プロトコル上にスキャナが識別されました。 |
13007 |
[0] |
Illegal UDP Scanner |
不正ゾーンで UDP プロトコル上に単一スキャナを識別しました。 |
13007 |
1 |
Illegal UDP Scanner |
不正ゾーンで UDP プロトコル上にワーム攻撃を識別しました。UDP ヒストグラムのしきい値を超え、UDP プロトコル上にスキャナが識別されました。 |
13008 |
[0] |
Illegal Other Scanner |
不正ゾーンでその他のプロトコル上に単一スキャナを識別しました。 |
13008 |
1 |
Illegal Other Scanner |
不正ゾーンでその他のプロトコル上にワーム攻撃を識別しました。その他のヒストグラムのしきい値を超え、その他のプロトコル上にスキャナが識別されました。 |