Cisco Guard コンフィギュレーション ガイド Software Version 6.1
ゾーン トラフィックの特性のラーニン グ
ゾーン トラフィックの特性のラーニング
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

ゾーン トラフィックの特性のラーニング

ラーニング プロセスと関連オプションについて

ラーニング プロセスのフェーズについて

ラーニング プロセスの結果の確認

およびラーニング機能について

ゾーンのラーニング プロセスの結果の Detector との同期

ポリシー構築フェーズのアクティブ化

しきい値調整フェーズのアクティブ化

ラーニング パラメータの設定

定期的なアクションの設定

しきい値選択方式の設定

ポリシーに対する調整済みのマーク付け

保護およびラーニング機能のイネーブル化

スナップショットを使用したラーニング プロセスの結果の確認

スナップショットの作成

ラーニングの結果の比較

スナップショットの比較

ゾーンの比較

スナップショットの表示

スナップショットの削除

ゾーン設定へのポリシーのコピー

ゾーン ポリシーのバックアップ

ゾーン トラフィックの特性のラーニング

この章では、Cisco Guard(Guard)のラーニング プロセスを使用してゾーン トラフィックの特性を分析し、Guard がゾーン保護に使用するポリシーを作成および調整する方法について説明します。

この章には、Guard の関連製品である Cisco Detector(Detector)についての記述があります。Detector は、DDoS 攻撃(分散型サービス拒絶攻撃)を検出するデバイスです。Detector は、ゾーン トラフィックのコピーを分析します。Detector は、ゾーンが攻撃を受けていると判断したときに、Guard の攻撃軽減サービスをアクティブにできます。また、Detector は Guard とゾーン設定を同期させることができます。Detector の詳細については、『 Cisco Traffic Anomaly Detector Module Configuration Guide 』および『 Cisco Traffic Anomaly Detector Configuration Guide 』を参照してください。

この章は、次の項で構成されています。

ラーニング プロセスと関連オプションについて

ポリシー構築フェーズのアクティブ化

しきい値調整フェーズのアクティブ化

ラーニング パラメータの設定

保護およびラーニング機能のイネーブル化

スナップショットを使用したラーニング プロセスの結果の確認

ゾーン ポリシーのバックアップ

ラーニング プロセスと関連オプションについて

Guard は、ラーニング プロセスで、通常のゾーン トラフィック状態を分析し、ベースラインを確立します。このベースラインにより、正常なトラフィックと、ゾーンへの攻撃を示す異常が含まれているトラフィックが判別されます。ラーニング プロセス中、Guard は、通常のトラフィック パターンに基づき、新しいゾーン ポリシーを作成してポリシーしきい値を変更し、参照ベースラインを作成します。

ゾーンのトラフィック特性をラーニングするために、Guard は、通常のネットワーク パスから Guard に宛先変更されたゾーン トラフィックを分析します。Guard は、トラフィックを分析すると、そのトラフィックをネットワークに戻します。外部デバイスを使用して、ラーニング プロセスを開始する前にトラフィックの宛先変更を設定するか、ゾーンのトラフィックを Guard に手動で宛先変更する必要があります。Guard のルーティング設定を使用して、ゾーンのトラフィック宛先変更を設定します。詳細については、「トラフィックの宛先変更の設定」を参照してください。


ラーニング プロセス中に Guard がパケットをドロップするのは、パケットに含まれている、送信元 IP アドレス、プロトコル番号、UDP 送信元ポートまたは宛先ポート、TCP 送信元ポートまたは宛先ポートのいずれかのフィールドが 0 である場合です。


ラーニング プロセスが完了する前にゾーンに対する攻撃があった場合、次の条件のいずれかに該当するときは、オンデマンド保護を使用してゾーンを保護します。

Guard がゾーン トラフィック ラーニングの実行中である。

保護およびラーニング機能がイネーブルになっているが、Guard は、ゾーンのトラフィック特性をラーニングしていない(「保護およびラーニング機能について」を参照)。

ゾーンのトラフィックを表していないポリシーのしきい値を受け入れている。

オンデマンド保護の詳細については、「オンデマンド保護のアクティブ化」を参照してください。

複数のゾーンに対して同時に ラーニング 関連のコマンドを入力できます。これには、グローバル モードで、ワイルドカードにアスタリスク(*)を使用してコマンドを入力します。たとえば、すべてのゾーンについてポリシー構築フェーズを開始する場合は、グローバル モードで learning policy-construction * コマンドを入力します。scan で始まる名前を持つ Guard のすべてのゾーン(scannet や scanserver など)のポリシー構築フェーズの結果を受け入れるには、グローバル モードで no learning scan * accept コマンドを入力します。

この項では、次のトピックについて取り上げます。

ラーニング プロセスのフェーズについて

ラーニング プロセスの結果の確認

保護およびラーニング機能について

ゾーンのラーニング プロセスの結果の Detector との同期

ラーニング プロセスのフェーズについて

ラーニング プロセスは、次の 2 つのフェーズで構成されています。

ポリシー構築:Guard は、ゾーン設定のポリシー テンプレートを使用して、ゾーン トラフィックで検出するサービスの新しいポリシーを作成します。既存のポリシーが新しいポリシーで上書きされます。

ポリシー テンプレートは、Guard が作成するゾーン ポリシーのタイプ、Guard が厳密に監視するサービスの最大数、および Guard による新しいポリシーの作成をトリガーする最小しきい値を定義します。ゾーン ポリシーを構築するための規則を変更するには、ポリシー テンプレート パラメータを変更してから、ポリシー構築フェーズを開始する必要があります。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。


) GUARD_LINK ゾーン テンプレートを使用して作成されたゾーンに対しては、ポリシー構築フェーズを実行できません。


ポリシー構築フェーズを使用する方法の詳細については、「ポリシー構築フェーズのアクティブ化」を参照してください。

しきい値調整:Guard は、ゾーン サービスのトラフィック レートに合せてゾーン ポリシーのしきい値を調整します。既存のしきい値が新しいしきい値で上書きされます。

しきい値調整フェーズとゾーン保護を同時にアクティブにすると(保護およびラーニング機能)、Guard で悪意のあるトラフィックのしきい値をラーニングすることを防止できます。Guard が常にゾーン ポリシーを調整するように設定し、Guard がポリシーのしきい値をアップデートするときの間隔を定義することができます。


) 保護およびラーニング機能をアクティブにすると、ゾーンのトラフィックが常に Guard に転送されます。


しきい値調整フェーズを使用する方法の詳細については、「しきい値調整フェーズのアクティブ化」を参照してください。

ラーニング プロセスのどちらのフェーズでも、Guard は、ラーニング フェーズの結果が次の方法で受け入れられるまで、現在のゾーン ポリシーを変更しません。

手動:ラーニング フェーズの結果を手動で受け入れます。

自動:ラーニング フェーズの結果を自動的に受け入れるように Guard を設定します。

ポリシーが作成された後は、ポリシーを追加または削除できます。また、しきい値、サービス、タイムアウト、アクションなどのポリシー パラメータを変更することもできます。

ラーニング プロセスの結果の確認

ラーニング プロセス中のどの段階でも、任意のラーニング フェーズの現在の結果を保存して、後で snapshot コマンドを使用して確認できます。ラーニング プロセスのスナップショットを保存することで、スナップショットのポイントまでに Guard が作成したポリシー情報を表示し、ラーニング プロセスの結果を受け入れるかどうかを判断できます。ラーニング フェーズの結果をスナップショットに保存しても、ゾーン設定には影響しません。スナップショット内のポリシー情報を使用してゾーン設定をアップデートできます。

snapshot コマンドを使用する方法の詳細については、「スナップショットの作成」を参照してください。

保護およびラーニング機能について

Guard がポリシー構築フェーズを実行した後、保護およびラーニング機能を使用して、ラーニング プロセスのしきい値調整フェーズのアクティブ化とゾーン保護のイネーブル化を同時に行うことができます。Guard は、最後に保存されたポリシーしきい値を使用してトラフィックの異常を監視しながら、ポリシーしきい値を調整します。保護およびラーニング機能により、ポリシーのしきい値をゾーンのトラフィック特性に基づいて常にアップデートしながら、Guard でゾーンを保護できるようになるため、Guard が悪意のあるトラフィックのしきい値をラーニングすることがなくなります。

保護およびラーニング機能をアクティブにする前に、ラーニング パラメータを設定することで、Guard がしきい値調整フェーズの結果をいつ、どのように受け入れるかを設定できます。

詳細については、「保護およびラーニング機能のイネーブル化」を参照してください。

ゾーンのラーニング プロセスの結果の Detector との同期

Detector がしきい値調整を実行し、 ゾーン同期 と呼ばれるプロセスを使用して Guard 上の対応するゾーン設定をアップデートするように設定できます。たとえば、Detector で検出およびラーニング機能をイネーブルにした場合、Detector は異常を検出すると、ラーニング プロセスを停止し、ゾーン同期を使用して最新のゾーン設定で Guard をアップデートし、その後 Guard の攻撃軽減サービスをアクティブにします。ゾーン同期では、Detector を使用して、Detector と Guard の両方でトラフィックの変化に合せてゾーンのポリシーしきい値を継続的に調整できます。Detector がゾーン トラフィックのコピーを分析するため、ラーニング プロセスのためにゾーン トラフィックを常に Guard に宛先変更する必要はありません。


) ゾーン同期は、Detector だけで設定します。詳細については、『Cisco Traffic Anomaly Detector Configuration Guide』または『Cisco Traffic Anomaly Detector Configuration Guide』を参照してください。


Detector のラーニング プロセスの結果を Guard と同期させるには、次の作業を実施する必要があります。

1. Guard を Detector 上のリモート Guard リストに追加して、通信方法を Secure Socket Layer(SSL)として定義します。

2. Detector との SSL 通信チャネルを確立します。「SSL 通信チャネル パラメータの設定」を参照してください。

Detector 上で、Guard ゾーン テンプレートを使用してゾーンを作成します。ゾーンの設定を Detector と手動で同期させたり、Detector を設定して、ゾーンの設定を Guard と自動的に同期させることができます。詳細については、「Detector とのゾーン設定の同期」を参照してください。

ポリシー構築フェーズのアクティブ化

ラーニング プロセスのポリシー構築フェーズは、新しいゾーンを作成した後や、新しいサービス ポリシーでゾーン設定をアップデートする必要があるときに使用します。ポリシー構築フェーズをイネーブルにすると、Guard は、ゾーン トラフィックを通常のネットワーク パスから宛先変更し、ゾーン トラフィックが Guard を通過するようにします。この処理により、ゾーンによって使用される主なサービス(ポートとプロトコル)を Guard が検出できるようになります。Guard は、ポリシー テンプレートによって設定された規則を使用して、ゾーン ポリシーを作成します。


) ポリシー構築フェーズの開始前にポリシー テンプレートを変更することで、ポリシー構築規則を再設定できます。たとえば、Guard で特定のタイプのポリシーが作成されないようにするには、関連するポリシー テンプレートをディセーブルにします。ポリシー パラメータ(タイムアウト、アクション、およびしきい値)のデフォルト値を変更することもできます。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。


 

ポリシー構築フェーズの結果を受け入れると、既存のポリシーが、ポリシー構築フェーズ中に Guard によって作成された新しいポリシーに置き換えられます。


) 帯域幅限定リンクのゾーン テンプレート GUARD_LINK_128K、GUARD_LINK_1M、GUARD_LINK_4M、および GUARD_LINK_512K に基づくゾーンに対しては、ラーニング プロセスのポリシー構築フェーズを実行できません。



注意 ポリシー構築フェーズをアクティブ化する前に、ゾーン上に攻撃がないことを確認してください。この確認により、Guard が、DDoS 攻撃(分散型サービス拒絶攻撃)のトラフィック特性に基づいてポリシーを構築することを回避できます。Guard が、DDoS 攻撃のトラフィック特性をラーニングし、攻撃の結果をベースラインとして保存すると、Guard が攻撃を通常のトラフィックの状態とみなすため、Guard はその後に発生する攻撃を検出できなくなります。

ラーニング プロセスのポリシー構築フェーズをアクティブにするには、次の手順を実行します。


ステップ 1 ゾーン設定モードで次のコマンドを入力することで、ポリシー構築フェーズをイネーブルにします。

learning policy-construction
 

ステップ 2 Guard がゾーンのトラフィックの宛先変更を実行していることを確認します。

ポリシー構築またはしきい値調整を開始してから少なくとも 10 秒待ってから、 show rates details コマンドを実行します。Received traffic レートの値がゼロより大きいことを確認します。値がゼロの場合は、宛先変更に問題があることを示しています。

ステップ 3 (オプション)Guard が構築中のポリシーを表示します。

ポリシー構築フェーズの任意の段階で snapshot コマンドを使用して、ラーニング パラメータ(サービス、しきい値、およびポリシー関連のその他のデータ)のスナップショットを保存しておいて、後で確認することができます。単一のスナップショットを保存するか、定期的なスナップショットを(指定した間隔で)保存することができます。

詳細については、「ポリシー設定のバックアップ」を参照してください。

ステップ 4 (オプション)Guard によるネットワーク トラフィックの詳細なサンプル分析に十分な時間だけ、ポリシー構築フェーズを実行した後、ポリシー構築フェーズを停止せずに、Guard によって提案されたポリシーを受け入れることができます。ポリシーを 1 回受け入れることもできます。または、提案されたポリシーを、指定された間隔で Guard が自動的に受け入れるように定義することもできます。これらの操作を行うと、ゾーンが最新のポリシーを持つだけでなく、引き続きゾーンのトラフィックをラーニングすることを保証できます。

Guard によって提案されたポリシーを受け入れ、ポリシー構築フェーズを継続するには、次のコマンドを使用します。

learning accept
 

Guard によって提案されたポリシーを指定した間隔で自動的に受け入れるには、次のコマンドを使用します。

learning-params periodic-action auto-accept learn_params_days learn_params_hours learn_params_minutes
 

詳細については、「ラーニング パラメータの設定」を参照してください。

定期的なアクションを終了するには、 no learning-params periodic-action コマンドを使用します。

ステップ 5 Guard がネットワーク トラフィックの完全なサンプルを分析できるように十分な時間をおいてから、ポリシー構築フェーズを終了し、現在提案されているポリシーを受け入れるか拒否します。


) ポリシー構築フェーズは、終了まで 2 時間以上継続させることをお勧めします。この時間で、Guard が、ゾーンによって使用される主なサービス(ポートとプロトコル)を検出できます。


次のアクションのいずれかを行うことができます。

提案されたポリシーの受け入れ:ポリシー構築フェーズを終了し、Guard によって提案されたポリシーを受け入れるには、ゾーン設定モードで次のコマンドを入力します。

no learning accept
 

Guard は、以前にラーニングしたポリシーとしきい値を消去します。

新しく構築されたポリシーを受け入れた後は、手動でポリシーを追加または削除できます。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。

提案されたポリシーの拒否:ポリシー構築フェーズを終了し、Guard によって提案されたポリシーを拒否するには、ゾーン設定モードで次のコマンドを入力します。

no learning reject
 

Guard は、ポリシー構築フェーズを停止し、現在のポリシーに変更を加えません。ゾーンのポリシーは、Guard がラーニング プロセスを開始する前か、ポリシー構築フェーズの結果を最後に受け入れる前のポリシーになります。


 

ポリシー構築フェーズを実行した後、しきい値調整フェーズをイネーブルにして各ポリシーのしきい値を調整します(「しきい値調整フェーズのアクティブ化」を参照)。

次の例は、ポリシー構築フェーズを開始し、提案されたポリシーを 12 時間間隔で受け入れる方法を示しています。さらに、ポリシー構築フェーズを停止し、提案されたポリシーを受け入れる方法も示しています。

user@GUARD-conf-zone-scannet# learning policy-construction
user@GUARD-conf-zone-scannet# learning-params periodic-action auto-accept 0 12 0
user@GUARD-conf-zone-scannet# no learning accept

しきい値調整フェーズのアクティブ化

Guard がゾーン トラフィックを分析し、ゾーン ポリシーのしきい値を定義できるようにするには、しきい値調整フェーズを使用します。しきい値調整フェーズをトラフィックのピーク時(1 日で最も忙しい部分)に、少なくとも 24 時間実行して、Guard がポリシーしきい値を正しく調整するために十分な時間を確保することをお勧めします。ただし、Guard がゾーンのトラフィックを常に宛先変更している場合は、保護およびラーニング機能をアクティブのままにして、しきい値調整フェーズを終了しないでください。


) 次の手順には、保護およびラーニング機能をイネーブルにするためのコマンドが含まれています。保護およびラーニング機能では、Guard がしきい値調整とゾーン保護を同時に実行できます。しきい値調整フェーズを実行する必要がある場合は、保護およびラーニング機能をイネーブルにすることをお勧めします(「保護およびラーニング機能について」を参照)。


ラーニング プロセスのしきい値調整フェーズをアクティブにするには、次の手順を実行します。


ステップ 1 ゾーン設定モードで次のいずれかのコマンドを入力することで、しきい値調整フェーズを実行できます。

learning threshold-tuning :しきい値調整フェーズだけをイネーブルにします。

protect learning :保護およびラーニング機能をイネーブルにします。この機能では、しきい値調整フェーズとゾーン保護が同時に実行されます。 learning threshold-tuning コマンドと protect コマンドを順番に入力することにより(順序は問いません)、保護およびラーニング機能をアクティブにすることもできます。


) ゾーン宛のトラフィックが通常の量のときに、保護およびラーニング機能をアクティブにした場合、Guard は、ピーク時のトラフィックを攻撃と見なす可能性があります。このような場合は、次のいずれかを行うことができます。

ゾーン設定モードで no learning-params threshold-tuned コマンドを入力することで、ゾーン ポリシーしきい値の状態を未調整に設定できます。詳細については、「ポリシーに対する調整済みのマーク付け」を参照してください。

ゾーン設定モードで no protect コマンドを入力して、ゾーン保護を無効にし、ゾーン ポリシーしきい値を継続してラーニングします。


 

ステップ 2 Guard がゾーンのトラフィックの宛先変更を実行していることを確認します。ポリシー構築フェーズを開始してから少なくとも 10 秒待ってから、 show rates details コマンドを実行します。Received traffic レートの値がゼロより大きいことを確認します。値がゼロの場合は、宛先変更に問題があることを示しています。

ステップ 3 (オプション) snapshot コマンドを使用して、Guard が調整中のゾーン ポリシーを表示します(「スナップショットを使用したラーニング プロセスの結果の確認」を参照)。

ステップ 4 提案されたしきい値を受け入れます。Guard によって提案されたしきい値を受け入れ、しきい値調整フェーズを継続できます。また、提案されたポリシーを、指定した間隔で Guard が自動的に受け入れるように設定できます。これらの操作を行うと、ゾーンが最新のポリシーを持つだけでなく、引き続きゾーン トラフィックをラーニングすることを保証できます。

Guard によって提案されたしきい値を受け入れ、しきい値調整フェーズを継続するには、次のコマンドを使用します。

learning accept [threshold-selection {new-thresholds | max-thresholds | weighted weight}]
 

threshold-selection の引数とキーワードについては、表8-2を参照してください。

Guard によって提案されたしきい値を指定した間隔で自動的に受け入れるには、次のコマンドを使用します。

learning-params periodic-action auto-accept learn_params_days learn_params_hours learn_params_minutes
 

詳細については、「ラーニング パラメータの設定」を参照してください。

定期的なアクションを終了するには、 no learning-params periodic-action コマンドを使用します。

ステップ 5 Guard がポリシーしきい値を正しく調整できるように十分な時間をおいてから、しきい値調整フェーズを終了し、現在提案されているしきい値を受け入れるか拒否します。


) 保護およびラーニング機能をイネーブルにしている場合は、しきい値調整フェーズを終了しないことをお勧めします。


次のいずれかのアクションを実行します。

現在提案されているしきい値の受け入れ:ラーニング プロセスを終了し、Guard によって提案されたポリシーしきい値を受け入れるには、ゾーン設定モードで次のコマンドを入力します。

no learning accept [threshold-selection {new-thresholds | max-thresholds | weighted weight}]
 

threshold-selection の引数とキーワードについては、 表8-2 を参照してください。

Guard は、以前にラーニングしたしきい値を新しいしきい値で置き換えます。新しく調整されたポリシーを受け入れた後は、手動でポリシーのパラメータを変更することができます。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。

現在提案されているしきい値の拒否:ラーニング プロセスを終了し、Guard によって提案されたポリシーしきい値を拒否するには、ゾーン設定モードで次のいずれかのコマンドを入力します。

no learning reject

Guard は、しきい値の調整を停止し、現在のしきい値に変更を加えません。そのプロセスの結果、新しく構築されたゾーン ポリシーには、以前のトラフィック特性に基づいて取得したしきい値が使用される場合があります。後でしきい値調整フェーズを有効にするか、またはそのしきい値を手動で設定することをお勧めします。

deactivate

保護およびラーニング機能をイネーブルにしている場合は、 deactivate コマンドを使用して、現在提案されているしきい値を保存せずに、ゾーン保護およびしきい値調整フェーズを終了します。


 

次の例は、しきい値調整フェーズを開始し、提案されたポリシーを 1 時間間隔で受け入れる方法を示しています。Guard は、次に、しきい値調整フェーズを停止し、しきい値が現在の値よりも大きい場合に、提案されたポリシーを受け入れます(max-thresholds 方式)。

user@GUARD-conf-zone-scannet# learning threshold-tuning
user@GUARD-conf-zone-scannet# learning-params periodic-action auto-accept 0 1 0
user@GUARD-conf-zone-scannet# no learning accept threshold-selection max-thresholds
 

しきい値調整フェーズの実行後、次のタスクを実行できます。

ラーニング プロセスの結果を表示する: show policies statistics コマンドを使用して、しきい値調整フェーズの結果を表示します。「ポリシーの表示」を参照してください。

ラーニング プロセスの結果を変更する:通常のトラフィック特性を正確に表していない可能性のあるポリシー パラメータ値を変更します。詳細については、「ポリシー パラメータの設定」を参照してください。

ポリシーしきい値を固定値として設定する:次回しきい値調整フェーズをイネーブルにしたときに、Guard は新しいしきい値を無視し、現在のしきい値を保持します。詳細については、「固定値としてのしきい値の設定」を参照してください。

ポリシーの固定乗数を設定する:次回しきい値調整フェーズをイネーブルにしたときに、Guard は、ラーニングしたしきい値に指定の乗数を掛け、その結果にしきい値選択方式を適用することで、新しいポリシーしきい値を計算します。詳細については、「しきい値の乗数の設定」を参照してください。

ラーニング パラメータの設定

この項では、ラーニング パラメータを設定して、すべてのゾーン ポリシーに影響する次の機能を管理する方法について説明します。

Guard の定期的なアクション:Guard が自動的にゾーン ポリシーを受け入れ、指定した間隔でゾーン ポリシーのスナップショットを保存するように Guard を設定します。

しきい値選択方式:Guard がしきい値調整フェーズの結果を受け入れて新しいポリシーのしきい値を生成するときに使用される、デフォルトの方式を設定します。

ゾーン ポリシーの調整状態:現在のゾーン ポリシーの状態を調整済みまたは未調整に設定します。

ラーニング パラメータの現在の設定を表示するには、ゾーン設定モードで show learning-params コマンドを使用します。

この項では、次のトピックについて取り上げます。

定期的なアクションの設定

しきい値選択方式の設定

ポリシーに対する調整済みのマーク付け

定期的なアクションの設定

指定した間隔で次のいずれかのアクションを実行するように Guard を設定できます。

ゾーン ポリシーを自動的に受け入れ、ポリシーのスナップショットを保存する

ゾーン ポリシーのスナップショットだけを保存する

スナップショットの詳細については、「ラーニング プロセスの結果の確認」を参照してください。

Guard が実行する定期的なアクションを設定するには、ゾーン設定モードで次のコマンドを入力します。

learning-params periodic-action {auto-accept | snapshot-only} learn_params_days learn_params_hours learn_params_minutes

表8-1 に、 learning-params periodic-action コマンドの引数とキーワードを示します。

 

表8-1 learning-params コマンドの引数とキーワード

パラメータ
説明

auto-accept

Guard によって提案されたポリシーを、指定された間隔で受け入れます。Guard は新しく提案されたゾーン ポリシーを受け入れた後で、ゾーン ポリシーのスナップショットを保存します。

snapshot-only

指定された間隔でポリシーのスナップショットを保存します。Guard は新しいポリシーを受け入れず、ポリシーのしきい値を変更しません。

learn_params_days

間隔(日単位)。0 ~ 1000 の整数を入力します。

learn_params_hours

間隔(時間単位)。0 ~ 1000 の整数を入力します。

learn_params_minutes

間隔(分単位)。0 ~ 1000 の整数を入力します。

間隔の値は、 learn_params_days learn_params_hours 値、および learn_params_minutes 値の合計となります。

次の例は、Guard がポリシーを 1 時間間隔で受け入れるように設定する方法を示しています。

user@GUARD-conf-zone-scannet# learning-params periodic-action auto-accept 0 1 0

しきい値選択方式の設定

しきい値調整フェーズ中に、Guard が新しいしきい値の生成に使用するデフォルトの方式を定義できます。しきい値調整フェーズの結果を手動で受け入れることも、指定した間隔で Guard がしきい値調整フェーズの結果を自動的に受け入れるように設定することもできます。

しきい値選択方式を設定するには、ゾーン設定モードで次のコマンドを使用します。

learning-params threshold-selection {new-thresholds | max-thresholds | weighted weight }

表8-2 に、 learning-params threshold-selection コマンドの引数とキーワードを示します。

 

表8-2 learning-params threshold-selection コマンドの引数とキーワード

パラメータ
説明

new-thresholds

ラーニング プロセスの結果をゾーン設定に保存します。

max-thresholds

現在のポリシーのしきい値をラーニングされたしきい値と比較し、値の大きい方をゾーン設定に保存します。

この方式がデフォルトです。

weighted weight

次の数式に基づいて、保存するポリシーのしきい値を計算します。

新しいしきい値 =(ラーニングしたしきい値 * 重み + 現在のしきい値 *(100 - 重み )) / 100

次の例は、ラーニングされたしきい値が現在のポリシーのしきい値よりも大きい場合に、提案されたポリシーを Guard が受け入れるように設定する方法を示しています。

user@GUARD-conf-zone-scannet# learning-params threshold-selection max-thresholds

ポリシーに対する調整済みのマーク付け

ゾーン ポリシーの調整状態は、ポリシーが調整済みとしてマークされているか、未調整としてマークされているかを表します。Guard は、次のいずれかのアクションが実行された後、ゾーンのポリシーを未調整としてマークします。これは、ポリシーしきい値が、そのゾーン トラフィックの固有の状況に合うように調整されていない可能性があるからです。

ゾーン テンプレートによる新しいゾーンの作成:ゾーン テンプレートは、ゾーンにデフォルトのポリシーおよびポリシーしきい値を設定します。デフォルトのポリシーおよびポリシーしきい値は、Guard がゾーン トラフィックでトラフィック異常を識別したらスプーフィング防止機能をすぐにアクティブにできる値が設定されています。

既存のゾーンのコピーによる新しいゾーンの作成:新しいゾーンには、コピー元のゾーンと同じポリシーおよびポリシーしきい値が含まれます。

既存のゾーンでのポリシー構築フェーズのイネーブル化:新しいポリシーを作成するポリシー テンプレートは、ポリシーにデフォルトのしきい値を設定します。

保護およびラーニング機能をイネーブルにした場合(「保護およびラーニング機能について」を参照)、ゾーン ポリシーの調整状態は、次のように Guard のゾーン保護機能に影響を及ぼします。

調整済みのポリシー:Guard は、しきい値調整フェーズを実行しながら、ゾーンに対する攻撃をすぐに検出できます。

未調整のポリシー:しきい値調整フェーズの結果を 1 回受け入れるまで、Guard はゾーンに対する攻撃を検出できません。1 回受け入れた時点で、Guard はポリシーを調整済みとしてマークします。このような動作により、通常のトラフィック量に対してデフォルトのしきい値設定が小さすぎるために、ゾーンが攻撃を受けていると Guard が判断し、保護およびラーニング機能のラーニング部分を停止してしまうという状況を回避できます。

保護およびラーニング機能をイネーブルにする前にゾーン ポリシーの現在の調整状態を表示するには、ゾーン設定モードで show learning-params コマンドを使用します。

保護およびラーニング機能をイネーブルにしたときにゾーン ポリシーが未調整である場合は、しきい値選択方式が max-threshold または weighted に設定されていても、Guard はしきい値選択方式 accept-new をアクティブにします。ラーニング フェーズの結果を 1 回受け入れた後は、Guard は、設定されているしきい値選択方式を使用します。しきい値の選択方式の詳細については、「しきい値選択方式の設定」を参照してください。

ゾーン ポリシーの調整状態は、手動で変更できます。次のいずれかの場合は、ゾーン ポリシーのステータスを調整済みに変更することがあります。

新しいゾーンが既存のゾーンまたはスナップショットから複製されており、両方のゾーンのトラフィック特性が似ている場合。

ポリシーのしきい値をすべて手動で設定した場合。

次のいずれかの場合は、ゾーン ポリシーのステータスを未調整に変更することがあります。

ゾーンのネットワークに重要な変更を加えた場合。

ゾーンの IP アドレスまたはサブネットを変更した場合。

トラフィックのピーク時の間、保護およびラーニング機能を開始していない場合。ゾーン ポリシーのステータスを未調整に変更し、Guard がピーク時のトラフィックを攻撃として識別しないようにします。

ゾーン ポリシーに調整済みのマークを付けるには、ゾーン設定モードで次のコマンドを使用します。

learning-params threshold-tuned

ゾーン ポリシーに未調整のマークを付けるには、このコマンドの no 形式を使用します。


注意 ゾーンに対する攻撃がある場合は、ゾーン ポリシーのステータスを未調整に変更しないでください。これは、ステータスを変更すると Guard で攻撃が検出されなくなり、Guard が悪意のあるトラフィックのしきい値をラーニングするためです。

次の例は、ゾーン ポリシーのステータスに調整済みのマークを付ける方法を示しています。

user@GUARD-conf-zone-scannet# learning-params threshold-tuned
 

保護およびラーニング機能のイネーブル化

保護およびラーニング機能を使用することで、ラーニング プロセスのしきい値調整フェーズとゾーン保護を同時にイネーブルにできます。Guard は、ポリシーしきい値を継続的に調整すると同時に、最後に保存されたポリシーしきい値を使用してトラフィックの異常を監視します。Guard は、ゾーンに対する攻撃を検出すると、ラーニング プロセスを停止して悪意のあるトラフィックのしきい値をラーニングしないようにし、攻撃の軽減を開始します。攻撃終了後、Guard はゾーン保護とともにしきい値調整フェーズを再開します。

保護およびラーニング機能をアクティブにする前に、次のアクションを実行します。

ラーニング プロセスのポリシー構築フェーズをアクティブにして、ゾーン固有のポリシーを構築する(「ポリシー構築フェーズのアクティブ化」を参照)。

ゾーン設定モードで show learning-params コマンドを使用して、ゾーン ポリシーの現在の調整状態を表示する。ポリシーが調整済みである場合、Guard は保護およびラーニング動作を実行できます。


注意 ゾーン ポリシーが未調整である場合に保護およびラーニング機能をイネーブルにすると、しきい値調整フェーズの結果を 1 回受け入れるまで、Guard はゾーン保護を行うことができません。

ポリシーが未調整である場合に保護およびラーニング機能をイネーブルにすると、Guard は次のように動作します。

ラーニング プロセスのしきい値調整フェーズだけを実行する。Guard は、トラフィックのポリシーしきい値違反を監視しないため、ゾーン保護を行いません。しきい値調整フェーズの結果を 1 回受け入れた後、Guard はポリシーを調整済みとしてマークして、ゾーン保護を行います。

しきい値選択方式が max-threshold または weighted に設定されていても、Guard はしきい値選択方式 accept-new をアクティブにする(「しきい値選択方式の設定」を参照)。しきい値調整フェーズの結果を 1 回受け入れた後、Guard は、設定されているしきい値選択方式を使用します。

詳細については、「ポリシーに対する調整済みのマーク付け」を参照してください。

しきい値調整フェーズの結果を手動で受け入れることも、Guard が結果を自動的に受け入れるように設定することもできます。Guard がラーニング プロセスの結果をいつ、どのように受け入れるかを設定することもできます(「ラーニング パラメータの設定」を参照)。

ラーニング プロセスとゾーン保護を同時にアクティブにするには、 protect learning コマンドを使用するか、 learning threshold-tuning コマンドと protect コマンドを順番に入力します(順序は問いません)。

しきい値調整フェーズの詳細については、「しきい値調整フェーズのアクティブ化」を参照してください。ゾーン保護をイネーブルにする方法の詳細については、「ゾーンの保護」を参照してください。

スナップショットを使用したラーニング プロセスの結果の確認

スナップショット機能では、ラーニング プロセスの任意の段階でラーニング パラメータ(サービス、しきい値、その他のポリシー関連のデータ)のコピーを保存できます。スナップショットを使用して、次のタスクを実行できます。

2 つのゾーンのラーニング パラメータを比較する。

2 つのゾーン スナップショットを比較して、ラーニング プロセスの結果を確認し、ポリシー、サービス、およびしきい値の違いをトレースする。

ラーニング プロセス中に攻撃が発生した場合、トラフィックが通常状態のときに取得されたスナップショットのポリシーを使用して、ゾーン保護を行う。

スナップショットからゾーン ポリシーをコピーすることで、以前のラーニング結果に基づいてゾーンを設定する。

ラーニング プロセス中、数時間ごとにスナップショットを保存することをお勧めします。スナップショットは、手動で取得することも、指定した間隔で Guard が自動的に取得するように設定することもできます。Guard は、スナップショットをゾーンごとに 100 個まで保存できます。以前のスナップショットは新しいスナップショットに置き換えられます。

この項では、次のトピックについて取り上げます。

スナップショットの作成

ラーニングの結果の比較

スナップショットの表示

スナップショットの削除

ゾーン設定へのポリシーのコピー

スナップショットの作成

ゾーンのラーニング パラメータの単一スナップショットを保存することができます。または、指定した間隔で Guard が自動的にスナップショットを取得するように設定できます。Guard は、スナップショットの取得中も、ラーニング プロセスを続行します。

Guard が指定した間隔で自動的にスナップショットを取得するように設定する方法の詳細については、「定期的なアクションの設定」を参照してください。

ゾーンのラーニング パラメータのスナップショットを 1 つ保存するには、ゾーン設定モードで次のコマンドを使用します。

snapshot [threshold-selection {cur-thresholds | max-thresholds | new-thresholds | weighted calc-weight }]

表8-3 に、 snapshot コマンドの引数とキーワードを示します。

 

表8-3 snapshot コマンドの引数とキーワード

パラメータ
説明

threshold-selection

(オプション)Guard がスナップショットのしきい値計算に使用する方式を指定します。デフォルトでは、Guard は learning-params threshold-selection コマンドで定義されたゾーンしきい値選択方式を使用します。ゾーンのデフォルトのしきい値選択方式は、 max-thresholds です。

cur-thresholds

ラーニング プロセスの新しいしきい値を無視して、現在のポリシーのしきい値をスナップショットに保存します。この方式を使用して、現在のゾーン ポリシーおよびポリシーしきい値のバックアップを作成できます。

max-thresholds

現在のポリシーのしきい値をラーニングされたしきい値と比較し、値の大きい方をゾーン設定に保存します。これがデフォルトの方式です。

new-thresholds

ラーニング プロセスの結果をゾーン設定に保存します。

weighted calc-weight

次の数式に基づいて、保存するポリシーのしきい値を計算します。

しきい値 =(新しいしきい値 * 計算された重み + 現在のしきい値 * (100 - 計算された重み ))/ 100

次の例は、ポリシーの現在のしきい値とラーニング プロセスの新しいしきい値のうちで最も大きい値をしきい値として持つスナップショットを作成する方法を示しています。

user@GUARD-conf-zone-scannet# snapshot threshold-selection max-thresholds
 

グローバル モードでスナップショットを 1 つ保存するには、次のコマンドを使用します。

snapshot zone-name [ threshold-selection { new-thresholds | max-thresholds | cur-thresholds | weighted weight }]

ラーニングの結果の比較

2 つのスナップショットまたはゾーンのラーニングの結果を比較して、ポリシー、サービス、およびしきい値の違いをトレースできます。

この項では、次のトピックについて取り上げます。

スナップショットの比較

ゾーンの比較

スナップショットの比較

2 つのスナップショットを比較するには、ゾーン設定モードで次のコマンドを使用します。

diff snapshots snapshot-id1 snapshot-id2 [ percent ]

表8-4 に、 diff コマンドの引数を示します。

 

表8-4 diff コマンドの引数

パラメータ
説明

snapshot-id1

比較する 1 番目のスナップショットの ID。ゾーンのスナップショットのリストを表示するには、 show snapshots コマンドを使用します。

snapshot-id2

比較する 2 番目のスナップショットの ID。

percent

(オプション)違いの割合。Guard は、2 つのスナップショットを比較して、指定した値よりも大きいポリシーしきい値の違いだけを表示します。デフォルトのパーセンテージは 100% で、Guard は 2 つのスナップショットにおける相違をすべて表示します。

次の例は、ゾーンのスナップショットの表示方法と、最新の 2 つのスナップショットを比較する方法を示しています。

user@GUARD-conf-zone-scannet# show snapshots
ID Time
1 Feb 10 10:32:04
2 Feb 10 10:49:12
3 Feb 10 11:01:50
user@GUARD-conf-zone-scannet# diff 2 3
 

グローバル モードでスナップショットを比較するには、次のコマンドを使用します。

diff zone-name snapshots snapshot-id1 snapshot-id2 [ percent ]

ゾーンの比較

2 つのゾーンのラーニング パラメータを比較するには、グローバル モードまたは設定モードで次のコマンドを使用します。

diff zone-name1 zone-name2 [ percent ]

表8-5 に、 diff コマンドの引数を示します。

 

表8-5 diff コマンドの引数

パラメータ
説明

zone-name1

ラーニング パラメータを比較する 1 番目のゾーンの名前。

zone-name2

ラーニング パラメータを比較する 2 番目のゾーンの名前。

percent

(オプション)違いの割合。Guard は、2 つのゾーンを比較して、指定した値よりも大きいポリシーしきい値の違いだけを表示します。デフォルトのパーセンテージは 100% で、Guard は 2 つのゾーンにおける相違をすべて表示します。

次の例は、2 つのゾーンのラーニング パラメータの比較方法を示しています。

user@GUARD# diff scannet scannet-mailserver
 

スナップショットの表示

ゾーン設定モードで次のコマンドを入力すると、ゾーンのスナップショットまたはスナップショット パラメータのリストが表示され、ゾーンのラーニングの結果を包括的に把握できます。

show snapshots [ snapshot-id [ policies policy-path ]]

表8-6 に、 show snapshots コマンドの引数とキーワードを示します。

 

表8-6 show snapshots コマンドの引数とキーワード

パラメータ
説明

snapshot-id

(オプション)表示するスナップショットの ID。ポリシーを指定しない場合、デフォルトでは、ゾーンのスナップショットすべてのリストが表示されます。スナップショット ID を表示するには、このコマンドを引数なしで使用します。

policies policy-path

(オプション)表示対象のポリシーのグループを指定します。詳細については、「ゾーン ポリシーについて」を参照してください。

グローバル モードでスナップショットを表示するには、次のコマンドを使用します。

show zone zone-name snapshots [ snapshot-id [ policies policy-path ]]

show zone zone-name snapshots snapshot-id policies policy-path コマンド出力のフィールドは、 show policies コマンド出力のフィールドと同じです。詳細については、「ポリシーの表示」を参照してください。

表8-7 に、 show snapshots コマンド出力のフィールドを示します。

 

表8-7 show snapshots コマンド出力のフィールドの説明

フィールド
説明

ID

スナップショット ID。

Time

スナップショットが取得された日付と時刻。

次の例は、ゾーンのスナップショットのリストを表示する方法と、スナップショット 2 の dns_tcp に関連するポリシーを表示する方法を示しています。

user@GUARD-conf-zone-scannet# show snapshots
ID Time
1 Feb 10 10:32:04
2 Feb 10 10:49:12
user@GUARD-conf-zone-scannet# show snapshots 2 policies dns_tcp

スナップショットの削除

古いスナップショットを削除して空きディスク スペースを得るには、ゾーン設定モードで次のコマンドを入力します。

no snapshot snapshot-id

snapshot-id 引数には、既存のスナップショットの ID を指定します。すべてのゾーンのスナップショットを削除するには、アスタリスク(*)を入力します。スナップショットの詳細を表示するには、show snapshots コマンドを使用します。

次の例では、すべてのゾーンのスナップショットを削除する方法を示しています。

user@GUARD-conf-zone-scannet# no snapshot *

ゾーン設定へのポリシーのコピー

ポリシーの全体の設定または部分的な設定を現在のゾーンにコピーできます。

次の情報をコピーできます。

サービスのコピー:ソース ゾーンからゾーンにサービスをコピーできます。サービスをコピーすると、サービス検出のためにポリシー構築フェーズを適用しなくても、ゾーン ポリシーを設定できます。サービスをゾーンにコピーするには、まず、そのゾーンが同様のトラフィック パターンを持つことを確認します。

ポリシー パラメータのコピー:ゾーン ポリシー パラメータをゾーンのスナップショットのポリシー パラメータに置き換えることができます。この設定を行うことにより、以前のラーニングの結果に戻すことができます。Guard は、既存ポリシーのパラメータだけをコピーします。

ゾーンのポリシーをコピーするには、ゾーン設定モードで次のコマンドを使用します。

c opy-policies { snapshot-id | src-zone-name [ service-path ]}

表8-8 に、copy-policies コマンドの引数を示します。

 

表8-8 copy-policies コマンドの引数

パラメータ
説明

snapshot-id

ポリシーのコピー元のスナップショットの ID。スナップショットの ID を表示するには、 show snapshots コマンドを使用します。

src-zone-name

サービス ポリシーのコピー元のゾーン名。

service-path

(オプション)コピー元のサービス。サービス パスの形式は、次のいずれかです。

policy-template:ポリシー テンプレートに関連するすべてのポリシーをコピーします。

policy-template/service-num:ポリシー テンプレートおよび指定のサービスに関連するすべてのポリシーをコピーします。

デフォルトでは、すべてのポリシーとサービスがコピーされます。

次の例は、ポリシー テンプレート tcp_connections に関連するすべてのサービスを、ゾーン webnet から現在のゾーン scannet にコピーする方法を示しています。

user@GUARD-conf-zone-scannet# copy-policies webnet tcp_connections/
 

次の例は、ゾーンのスナップショットのリストを表示し、次に ID が 2 のスナップショットからポリシーをコピーする方法を示しています。

user@GUARD-conf-zone-scannet# show snapshots
ID Time
1 Feb 10 10:32:04
2 Feb 10 10:49:12
user@GUARD-conf-zone-scannet# copy-policies 2

ゾーン ポリシーのバックアップ

ゾーン設定モードで次のコマンドを使用して、いつでも現在のゾーン ポリシーのバックアップを作成できます。

snapshot threshold-selection cur-thresholds

次の例は、現在のゾーン ポリシーのバックアップ方法を示しています。

user@GUARD-conf-zone-scannet# snapshot threshold-selection cur-thresholds