Cisco Traffic Anomaly Detector コンフィギュレーション ガイド Software Release 6.1
ゾーン トラフィックの特性のラーニン グ
ゾーン トラフィックの特性のラーニング
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

ゾーン トラフィックの特性のラーニング

ラーニング プロセスと関連オプションについて

ラーニング プロセスのフェーズについて

ラーニング プロセスの結果の確認

およびラーニング機能について

ゾーンのラーニング プロセスの結果と の同期

ポリシー構築フェーズのアクティブ化

しきい値調整フェーズのアクティブ化

ラーニング パラメータの設定

定期的なアクションの設定

しきい値選択方式の設定

ポリシーに対する調整済みのマーク付け

検出およびラーニング機能のイネーブル化

スナップショットを使用したラーニング プロセスの結果の確認

スナップショットの作成

ラーニングの結果の比較

スナップショットの比較

ゾーンの比較

スナップショットの表示

スナップショットの削除

ゾーン設定へのポリシーのコピー

ゾーン ポリシーのバックアップ

ゾーン トラフィックの特性のラーニング

この章では、Cisco Traffic Anomaly Detector(Detector)のラーニング プロセスを使用してゾーン トラフィックの特性を分析し、Detector がゾーン異常検出に使用するポリシーを作成および調整する方法について説明します。

この章では、Detector の関連製品である Cisco Guard(Guard)についても言及します。Guard は、Distributed Denial of Service(DDoS; 分散型サービス拒絶)攻撃検出および軽減デバイスです。トラフィックが通過するときにゾーン トラフィックをクリーンにして、攻撃トラフィックをドロップし、正当なトラフィックをネットワークに注入します。Detector は、ゾーンが攻撃を受けていると判断した時点で、Guard の攻撃軽減サービスをアクティブにできます。また、Detector は Guard とゾーン設定を同期させることができます。Guard の詳細については、『 Cisco Anomaly Guard Module Configuration Guide 』または『 Cisco Guard Configuration Guide 』を参照してください。

この章は、次の項で構成されています。

ラーニング プロセスと関連オプションについて

ゾーンのラーニング プロセスの結果と Guard の同期

ポリシー構築フェーズのアクティブ化

しきい値調整フェーズのアクティブ化

ラーニング パラメータの設定

検出およびラーニング機能のイネーブル化

スナップショットを使用したラーニング プロセスの結果の確認

ゾーン ポリシーのバックアップ

ラーニング プロセスと関連オプションについて

Detector は、ラーニング プロセスで、通常のゾーン トラフィック状態を分析し、ベースラインを確立します。このベースラインにより、正常なトラフィックと、ゾーンへの攻撃を示す異常が含まれているトラフィックが判別されます。ラーニング プロセス中、Detector は、通常のトラフィック パターンに基づき、新しいゾーン ポリシーを作成してポリシーしきい値を変更し、参照ベースラインを作成します。

ラーニング プロセスを発生させるには、スイッチにポート ミラーリングを設定するか、光スプリッタを使用して Detector をルータに接続する必要があります。

複数のゾーンに対して同時に ラーニング 関連のコマンドを入力できます。これには、グローバル モードで、ワイルドカードにアスタリスク(*)を使用してコマンドを入力します。たとえば、すべてのゾーンについてポリシー構築フェーズを開始する場合は、グローバル モードで learning policy-construction * コマンドを入力します。scan で始まる名前を持つ Detector のすべてのゾーン(scannet や scanserver など)のポリシー構築フェーズの結果を受け入れるには、グローバル モードで no learning scan * accept コマンドを入力します。

この項では、次のトピックについて取り上げます。

ラーニング プロセスのフェーズについて

ラーニング プロセスの結果の確認

検出およびラーニング機能について

ラーニング プロセスのフェーズについて

ラーニング プロセスは、次の 2 つのフェーズで構成されています。

ポリシー構築:Detector は、ゾーン トラフィックのサービスのポリシーを作成します。ポリシー テンプレートは、Detector が作成するゾーン ポリシーのタイプ、Detector が厳密に監視するサービスの最大数、および Detector による新しいポリシーの作成をトリガーする最小しきい値を定義します。ゾーン ポリシーを構築するための規則を変更するには、ポリシー テンプレート パラメータを変更してから、ポリシー構築フェーズを開始する必要があります。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。


) GUARD_LINK または DETECTOR_LINK ゾーン テンプレートを使用して作成されたゾーンに対してポリシー構築フェーズを実行することはできません。


ポリシー構築フェーズを使用する方法の詳細については、「ポリシー構築フェーズのアクティブ化」を参照してください。

しきい値調整:Detector は、ゾーン サービスのトラフィック レートに合せてゾーン ポリシーのしきい値を調整します。既存のしきい値が新しいしきい値で上書きされます。

しきい値調整フェーズとゾーンの異常検出を同時にアクティブにすると(検出およびラーニング機能)、Detector で悪意のあるトラフィックのしきい値をラーニングすることを防止できます。Detector が常にゾーン ポリシーを調整するように設定し、Detector がポリシーのしきい値をアップデートするときの間隔を定義することができます。

しきい値調整フェーズを使用する方法の詳細については、「しきい値調整フェーズのアクティブ化」を参照してください。

ラーニング プロセスのどちらのフェーズでも、Detector は、ラーニング フェーズの結果が次の方法で受け入れられるまで、現在のゾーン ポリシーを変更しません。

手動:ラーニング フェーズの結果を手動で受け入れます。

自動:ラーニング フェーズの結果を自動的に受け入れるように Detector を設定します。

ポリシーが作成された後は、ポリシーを追加または削除できます。また、しきい値、サービス、タイムアウト、アクションなどのポリシー パラメータを変更することもできます。


) Detector は、ポリシー構築フェーズ中ではなく、しきい値調整フェーズ中にワーム ポリシーの新しいサービスをラーニングします。したがって、しきい値調整フェーズ中に、ワーム ポリシーに追加された新しいサービス(ポート)が表示される場合があります。


ラーニング プロセスの結果の確認

ラーニング プロセス中のどの段階でも、任意のラーニング フェーズの現在の結果を保存して、後で snapshot コマンドを使用して確認できます。ラーニング プロセスのスナップショットを保存することで、スナップショットのポイントまでに Detector が作成したポリシー情報を表示し、ラーニング プロセスの結果を受け入れるかどうかを判断できます。ラーニング フェーズの結果をスナップショットに保存しても、ゾーン設定には影響しません。スナップショット内のポリシー情報を使用してゾーン設定をアップデートできます。

snapshot コマンドを使用する方法の詳細については、「スナップショットの作成」を参照してください。

検出およびラーニング機能について

Detector がポリシー構築フェーズを実行した後、検出およびラーニング機能を使用して、ラーニング プロセスのしきい値調整フェーズのアクティブ化とゾーン異常検出のイネーブル化を同時に行うことができます。Detector は、最後に保存されたポリシーしきい値を使用してトラフィックの異常を監視しながら、ポリシーしきい値を調整します。検出およびラーニング機能により、ポリシーのしきい値をゾーンのトラフィック特性に基づいて常にアップデートしながら、Detector でゾーンの異常を検出できるようになるため、Detector が悪意のあるトラフィックのしきい値をラーニングすることがなくなります。

検出およびラーニング機能をアクティブにする前に、ラーニング パラメータを設定することで、Detector がしきい値調整フェーズの結果をいつ、どのように受け入れるかを設定できます。

詳細については、「検出およびラーニング機能のイネーブル化」を参照してください。

ゾーンのラーニング プロセスの結果と Guard の同期

Detector がしきい値調整を実行し、ゾーン同期と呼ばれるプロセスを使用して Guard 上の対応するゾーン設定をアップデートするように設定できます。たとえば、Detector で検出およびラーニング機能をイネーブルにした場合、Detector は異常を検出すると、ラーニング プロセスを停止し、ゾーン同期を使用して最新のゾーン設定で Guard をアップデートし、その後 Guard の攻撃軽減サービスをアクティブにします。ゾーン同期では、Detector を使用して、Detector と Guard の両方で通常のトラフィックの変化に合せてゾーンのポリシーしきい値を継続的に調整できます。Detector がゾーン トラフィックのコピーを分析するため、ラーニング プロセスのためにゾーン トラフィックを常に Guard に宛先変更する必要はありません。

Detector のラーニング プロセスの結果を Guard と同期させるには、次の作業を実行する必要があります。

1. Guard を Detector 上のリモート Guard リストに追加して、通信方法を Secure Socket Layer(SSL)として定義します。「リモート Guard リストを使用したリモート Guard のアクティブ化」を参照してください。

2. Guard との SSL 通信チャネルを確立します。「SSL 通信チャネル パラメータの設定」を参照してください。

3. Guard ゾーン テンプレートを使用して、Detector にゾーンを作成します。「ゾーン テンプレートからの新しいゾーンの作成」を参照してください。

4. ゾーンの検出およびラーニング機能をアクティブにします。「検出およびラーニング機能のイネーブル化」を参照してください。

ゾーン設定を手動で Guard と同期させることも、ゾーン設定を自動的に Guard と同期させるように Detector を設定することもできます。詳細については、「Guard とのゾーン設定の同期」を参照してください。

ポリシー構築フェーズのアクティブ化

ポリシー構築フェーズは、新しいゾーンを作成した後や、ゾーン設定が新しいサービス ポリシーを使用してアップデートを行う必要があるときに使用します。ポリシー構築フェーズをイネーブルにすると、Detector は、トラフィックを分析して、ゾーンによって使用される主なサービス(ポートとプロトコル)を検出します。Detector は、ポリシー テンプレートによって設定された規則を使用して、サービスのゾーン ポリシーを作成します。


) ポリシー構築フェーズの開始前にポリシー テンプレートを変更することで、ポリシー構築規則を再設定できます。たとえば、Detector で特定のタイプのポリシーが作成されないようにするには、関連するポリシー テンプレートをディセーブルにします。ポリシー パラメータ(タイムアウト、アクション、およびしきい値)のデフォルト値を変更することもできます。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。


ポリシー構築フェーズの結果を受け入れると、既存のポリシーが、ポリシー構築フェーズ中に Detector によって作成された新しいポリシーに置き換えられます。


) 帯域幅限定リンク ゾーン テンプレート(DETECTOR_LINK_128K、DETECTOR_LINK_1M、DETECTOR_LINK_4M、GUARD _LINK_512K、GUARD_LINK_128K、GUARD_LINK_1M、GUARD_LINK_4M、および GUARD_LINK_512K)に基づくゾーンに対しては、ラーニング プロセスのポリシー構築フェーズを実行できません。



注意 ポリシー構築フェーズをアクティブにする前に、ゾーン上に攻撃がないことを確認してください。この確認を行うと、Detector が、DDoS 攻撃(分散型サービス拒絶攻撃)のトラフィック特性に基づいてポリシーを構築することを回避できます。Detector が、DDoS 攻撃のトラフィック特性をラーニングし、攻撃の結果をベースラインとして保存すると、Detector が攻撃を通常のトラフィックの状態とみなすため、Detector はその後に発生する攻撃を検出できなくなります。

ゾーン ポリシーを構築するには、次の手順を実行します。


ステップ 1 ゾーン設定モードで次のコマンドを入力することで、ポリシー構築フェーズをアクティブにします。

learning policy-construction
 

ステップ 2 Detector がゾーン トラフィックのコピーを受信していることを確認します。ポリシー構築またはしきい値調整を開始してから少なくとも 10 秒待ってから、 show rates コマンドを入力します。Received traffic レートの値がゼロより大きいことを確認します。値がゼロの場合は、Detector がゾーンのトラフィックのコピーを受信していないことを示します。スイッチのポート ミラーリングの設定を確認するか、または光スプリッタを使用して Detector からルータへの接続を確認してください。

ステップ 3 (オプション)Detector が構築中のポリシーを表示します。

ポリシー構築フェーズの任意の段階で snapshot コマンドを使用して、ラーニング パラメータ(サービス、しきい値、およびポリシー関連のその他のデータ)のスナップショットを保存しておいて、後で確認することができます。単一のスナップショットを保存するか、定期的なスナップショットを(指定した間隔で)保存することができます。

詳細については、「ポリシー設定のバックアップ」を参照してください。

ステップ 4 (オプション)Detector によるネットワーク トラフィックの詳細なサンプル分析に十分な時間だけ、ポリシー構築フェーズを実行した後、ポリシー構築フェーズを停止せずに、Detector によって提案されたポリシーを受け入れることができます。ポリシーを 1 回受け入れることもできます。または、提案されたポリシーを、指定された間隔で Detector が自動的に受け入れるように定義することもできます。これらの操作を行うと、ゾーンが最新のポリシーを持つだけでなく、引き続きゾーンのトラフィックをラーニングすることを保証できます。

Detector によって提案されたポリシーを受け入れ、ポリシー構築フェーズを継続するには、次のコマンドを使用します。

learning accept
 

Detector によって提案されたポリシーを指定した間隔で自動的に受け入れるには、次のコマンドを使用します。

learning-params periodic-action auto-accept learn_params_days learn_params_hours learn_params_minutes
 

詳細については、「ラーニング パラメータの設定」を参照してください。

定期的なアクションを終了するには、 no learning-params periodic-action コマンドを使用します。

ステップ 5 Detector がネットワーク トラフィックの詳細なサンプルを分析できるように十分な時間をおいてから、ポリシー構築フェーズを終了し、新しく構築されたポリシーの取り扱いを決定します。


) ゾーンが使用する主なサービス(ポートおよびプロトコル)を Detector が検出するための十分な時間を確保するために、ポリシー構築フェーズを少なくとも 2 時間継続することをお勧めします。


次のアクションのいずれかを行うことができます。

提案されたポリシーの受け入れ:Detector によって提案されたポリシーを受け入れるには、ゾーン設定モードで次のコマンドを入力します。

no learning accept

Detector は、以前にラーニングしたポリシーとしきい値を消去します。

新しく構築されたポリシーを受け入れた後は、手動でポリシーを追加または削除できます。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。

提案されたポリシーの拒否:Detector によって提案されたポリシーを拒否するには、ゾーン設定モードで次のコマンドを入力します。

no learning reject

Detector はプロセスを停止し、ラーニングした新しいポリシーを保存しません。ゾーンのポリシーは、Detector がラーニング プロセスを開始する前か、ポリシー構築フェーズの結果を最後に受け入れる前のポリシーになります。


 

ポリシー構築フェーズを実行した後、しきい値調整フェーズをイネーブルにして各ポリシーのしきい値を調整します(「しきい値調整フェーズのアクティブ化」を参照)。

次の例は、ポリシー構築フェーズを開始し、提案されたポリシーを 12 時間間隔で受け入れる方法を示しています。さらに、ポリシー構築フェーズを停止し、提案されたポリシーを受け入れる方法も示しています。

user@DETECTOR-conf-zone-scannet# learning policy-construction
user@DETECTOR-conf-zone-scannet# learning-params periodic-action auto-accept 0 12 0
user@DETECTOR-conf-zone-scannet# no learning accept

しきい値調整フェーズのアクティブ化

Detector がゾーン トラフィックを分析し、ゾーン ポリシーのしきい値を定義できるようにするには、しきい値調整フェーズを使用します。しきい値調整フェーズをトラフィックのピーク時(1 日で最も忙しい部分)に、少なくとも 24 時間実行して、Detector がポリシーしきい値を正しく調整するために十分な時間を確保することをお勧めします。


) 次の手順には、検出およびラーニング機能をイネーブルにするためのコマンドが含まれています。検出およびラーニング機能では、Detector がしきい値調整と異常検出を同時に実行できます。しきい値調整フェーズを実行する必要がある場合は、検出およびラーニング機能をイネーブルにすることをお勧めします(「検出およびラーニング機能について」を参照)。


ラーニング プロセスのしきい値調整フェーズをアクティブにするには、次の手順を実行します。


ステップ 1 ゾーン設定モードで次のいずれかのコマンドを入力することで、しきい値調整フェーズを実行できます。

learning threshold-tuning :しきい値調整フェーズだけをイネーブルにします。

detect learning :検出およびラーニング機能をイネーブルにします。この機能では、しきい値調整フェーズと異常検出が同時に実行されます。 learning threshold-tuning コマンドと detect コマンドを順番に入力することにより(順序は問いません)、検出およびラーニング機能をアクティブにすることもできます。


) ゾーン宛のトラフィックが通常の量のときに、検出およびラーニング機能をアクティブにした場合、Detector は、ピーク時のトラフィックを攻撃とみなす可能性があります。このような場合は、次のいずれかを行うことができます。

ゾーン設定モードで no learning-params threshold-tuned コマンドを入力することで、ゾーン ポリシーしきい値の状態を未調整に設定できます。詳細については、「ポリシーに対する調整済みのマーク付け」を参照してください。

ゾーン設定モードで no detect コマンドを入力して、ゾーン異常検出を無効にし、ゾーン ポリシーしきい値を継続してラーニングします。


 

ステップ 2 Detector がゾーン トラフィックのコピーを受信していることを確認します。ポリシー構築フェーズまたはしきい値調整フェーズが開始してから少なくとも 10 秒待ってから、 show rates コマンドを入力します。Received traffic レートの値がゼロより大きいことを確認します。値がゼロの場合は、Detector がゾーンのトラフィックのコピーを受信していないことを示します。スイッチのポート ミラーリングの設定を確認するか、または光スプリッタを使用して Detector からルータへの接続を確認してください。

ステップ 3 (オプション) snapshot コマンドを使用して、Detector が調整中のゾーン ポリシーを表示します(「スナップショットを使用したラーニング プロセスの結果の確認」を参照)。

ステップ 4 提案されたしきい値を受け入れます。Detector によって現在提案されているしきい値を受け入れ、しきい値調整フェーズを継続できます。また、提案されたポリシーを、指定した間隔で Detector が自動的に受け入れるように設定できます。これらの操作を行うと、ゾーンが最新のしきい値を持つだけでなく、引き続きゾーン トラフィックをラーニングするように保証できます。

Detector によって提案されたポリシーを受け入れ、しきい値調整フェーズを継続するには、次のコマンドを使用します。

learning accept [threshold-selection {new-thresholds | max-thresholds | weighted weight}]
 

threshold-selection の引数とキーワードについては、 表7-2 を参照してください。

Detector によって提案されたポリシーを指定した間隔で自動的に受け入れるには、次のコマンドを使用します。

learning-params periodic-action auto-accept learn_params_days learn_params_hours learn_params_minutes
 

詳細については、「ラーニング パラメータの設定」を参照してください。

定期的なアクションを終了するには、 no learning-params periodic-action コマンドを使用します。

ステップ 5 Detector がポリシーしきい値を正しく調整できるように十分な時間をおいてから、しきい値調整フェーズを終了し、現在提案されているしきい値を受け入れるか拒否します。


) 検出およびラーニング機能をイネーブルにしている場合は、しきい値調整フェーズを終了しないことをお勧めします。


次のアクションのいずれかを行うことができます。

提案されたポリシーの受け入れ:ラーニング プロセスを終了し、Detector によって提案されたポリシーしきい値を受け入れるには、ゾーン設定モードで次のコマンドを入力します。

no learning accept [threshold-selection {new-thresholds | max-thresholds | weighted weight}]
 

threshold-selection の引数とキーワードについては、 表7-2 を参照してください。

Detector は、以前にラーニングしたしきい値を消去します。

新しく調整されたポリシーを受け入れた後は、手動でポリシーのパラメータを変更することができます。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。

提案されたポリシーの拒否:ラーニング プロセスを終了し、Detector によって提案されたポリシーしきい値を拒否するには、ゾーン設定モードで次のいずれかのコマンドを入力します。

no learning reject

Detector は、しきい値の調整を停止し、現在のしきい値に変更を加えません。そのプロセスの結果、新しく構築されたゾーン ポリシーには、以前のトラフィック特性に基づいて取得したしきい値が使用される場合があります。後でしきい値調整フェーズを有効にするか、またはそのしきい値を手動で設定することをお勧めします。

deactivate

検出およびラーニング機能をイネーブルにしている場合は、 deactivate コマンドを使用して、現在提案されているしきい値を保存せずに、異常検出およびしきい値調整フェーズを終了します。


 

次の例は、しきい値調整フェーズを開始し、提案されたポリシーを 1 時間間隔で受け入れる方法を示しています。Detector は、次に、しきい値調整フェーズを停止し、しきい値が現在の値よりも大きい場合に、提案されたポリシーを受け入れます(max-thresholds 方式)。

user@DETECTOR-conf-zone-scannet# learning threshold-tuning
user@DETECTOR-conf-zone-scannet# learning-params periodic-action auto-accept 0 1 0
user@DETECTOR-conf-zone-scannet# no learning accept threshold-selection max-thresholds
 

しきい値調整フェーズの実行後、次のタスクを実行できます。

ラーニング プロセスの結果を表示する: show policies statistics コマンドを使用して、しきい値調整フェーズの結果を表示します。詳細については、「ポリシーの表示」を参照してください。

ラーニング プロセスの結果を変更する:通常のトラフィック特性を正確に表していない可能性のあるポリシー パラメータ値を変更します。詳細については、「ポリシー パラメータの設定」を参照してください。

ポリシーしきい値を固定値として設定する:次回しきい値調整フェーズをイネーブルにしたときに、Detector は新しいしきい値を無視し、現在のしきい値を保持します。詳細については、「固定値としてのしきい値の設定」を参照してください。

ポリシーの固定乗数を設定する:次回しきい値調整フェーズをイネーブルにしたときに、Detector は、ラーニングしたしきい値に指定の乗数を掛け、その結果にしきい値選択方式を適用することで、新しいポリシーしきい値を計算します。詳細については、「しきい値の乗数の設定」を参照してください。

ラーニング パラメータの設定

この項では、ラーニング パラメータを設定して、すべてのゾーン ポリシーに影響する次の機能を管理する方法について説明します。

Detector の定期的なアクション:Detector が自動的にゾーン ポリシーを受け入れ、指定した間隔でゾーン ポリシーのスナップショットを保存するように Detector を設定します。

しきい値選択方式:Detector がしきい値調整フェーズの結果を受け入れて新しいポリシーのしきい値を生成するときに使用される、デフォルトの方式を設定します。

ゾーン ポリシーの調整状態:現在のゾーン ポリシーの状態を調整済みまたは未調整に設定します。

ラーニング パラメータの現在の設定を表示するには、ゾーン設定モードで show learning-params コマンドを使用します。

この項では、次のトピックについて取り上げます。

定期的なアクションの設定

しきい値選択方式の設定

ポリシーに対する調整済みのマーク付け

定期的なアクションの設定

指定した間隔で次のいずれかのアクションを実行するように Detector を設定できます。

ゾーン ポリシーを自動的に受け入れ、ポリシーのスナップショットを保存する

ゾーン ポリシーのスナップショットだけを保存する

スナップショットの詳細については、「ラーニング プロセスの結果の確認」を参照してください。

Detector が実行する定期的なアクションを設定するには、ゾーン設定モードで次のコマンドを入力します。

learning-params periodic-action {auto-accept | snapshot-only} learn_params_day s learn_params_hours learn_params_minutes

表7-1 に、 learning-params periodic-action コマンドの引数とキーワードを示します。

 

表7-1 learning-params periodic-action コマンドの引数とキーワード

パラメータ
説明

auto-accept

Detector によって提案されたポリシーを、指定された間隔で受け入れます。Detector は新しく提案されたゾーン ポリシーを受け入れた後で、ゾーン ポリシーのスナップショットを保存します。

snapshot-only

指定された間隔でポリシーのスナップショットを保存します。Detector は新しいポリシーを受け入れず、ポリシーのしきい値を変更しません。

learn_params_days

間隔(日単位)。0 ~ 1000 の整数を入力します。

learn_params_hours

間隔(時間単位)。0 ~ 1000 の整数を入力します。

learn_params_minutes

間隔(分単位)。0 ~ 1000 の整数を入力します。

間隔の値は、 learn_params_days 、learn_params_hours 値、および learn_params_minutes 値の合計となります。

次の例は、Detector がポリシーを 1 時間間隔で受け入れるように設定する方法を示しています。

user@DETECTOR-conf-zone-scannet# learning-params periodic-action auto-accept 0 1 0

しきい値選択方式の設定

しきい値調整フェーズ中に、Detector が新しいしきい値の生成に使用するデフォルトの方式を定義できます。しきい値調整フェーズの結果を手動で受け入れることも、指定した間隔で Detector がしきい値調整フェーズの結果を自動的に受け入れるように設定することもできます。

しきい値選択方式を設定するには、ゾーン設定モードで次のコマンドを使用します。

learning-params threshold-selection {new-thresholds | max-thresholds | weighted weight }

表7-2 に、 learning-params threshold-selection コマンドの引数とキーワードを示します。

 

表7-2 learning-params threshold-selection コマンドの引数とキーワード

パラメータ
説明

new-thresholds

ラーニング プロセスの結果をゾーン設定に保存します。

max-thresholds

現在のポリシーのしきい値をラーニングされたしきい値と比較し、値の大きい方をゾーン設定に保存します。

この方式がデフォルトです。

weighted weight

次の数式に基づいて、保存するポリシーのしきい値を計算します。

新しいしきい値 = (ラーニングしたしきい値 * 重み + 現在のしきい値 * (100 - 重み )) / 100

次の例は、ラーニングされたしきい値が現在のポリシーのしきい値よりも大きい場合に、提案されたポリシーを Detector が受け入れるように設定する方法を示しています。

user@DETECTOR-conf-zone-scannet# learning-params threshold-selection max-thresholds

ポリシーに対する調整済みのマーク付け

Detector は、ポリシーしきい値が調整されているかどうかを定義するポリシーしきい値の状態にマークを付け、保護およびラーニング機能をイネーブルにするときにこのステータスに関連付けます。ポリシーのしきい値のステータスは、ポリシーのしきい値を超過したときに、Detector でゾーンに対する攻撃とみなすかどうかを示します。

新しいゾーンが作成されるとき、またはゾーンに関するポリシー構築フェーズの結果を受け入れた後に、Detector はゾーンのポリシーのしきい値を未調整としてマークします。ゾーン テンプレートのデフォルトのしきい値は、ゾーン トラフィックに異常を発見した場合に Detector がスプーフィング防止機能をすぐにアクティブにするように調整されています。保護およびラーニング機能をイネーブルにしている場合、現在のゾーン トラフィックが現在のポリシーしきい値よりも高いと、ラーニング プロセスは停止します。このような状況を防ぐために、ゾーン ポリシーが調整されていなければ、検出およびラーニング機能をイネーブルにした場合、ゾーン ポリシーしきい値が受け入れられるまで Detector はゾーン トラフィックにおける攻撃を検出しません。

ゾーンのポリシーが未調整である場合、Detector は、新しいポリシーを受け入れるときに、しきい値選択方式 accept-new をアクティブにして、以前のしきい値を無視します。Detector がそのゾーンに関するラーニング プロセスのしきい値調整フェーズの結果を受け入れるときに、accept-new 以外のしきい値選択方式を使用すると、ポリシーのしきい値の集合が不適切になる場合があります。しきい値の選択方式の詳細については、「しきい値選択方式の設定」を参照してください。

Detector は、次の場合にゾーンのポリシーを未調整としてマークします。

新しいゾーンを作成する場合

ポリシー構築フェーズの結果を受け入れた場合

ゾーン ポリシーに対してサービスの削除または新しいサービスの追加を行った場合

Detector は、しきい値調整フェーズの結果を受け入れた後に、ゾーンのポリシーを調整済みとしてマークします。

ユーザは、ゾーン ポリシーの設定を変更できます。ゾーン ポリシーに調整済みのマークを付けるには、ゾーン設定モードで次のコマンドを使用します。

learning-params threshold-tuned

ゾーン ポリシーに未調整のマークを付けるには、このコマンドの no 形式を使用します。

次のどちらかの場合は、ゾーン ポリシーのステータスを調整済みに変更することもできます。

新しいゾーンが既存のゾーンまたはスナップショットから複製されており、両方のゾーンのトラフィック特性が似ている場合。

ポリシーのしきい値をすべて手動で設定した場合。

次のどちらかの場合は、ゾーン ポリシーのステータスを未調整に変更することもできます。

ゾーンのネットワークに重要な変更を加えた場合。

ゾーンの IP アドレスまたはサブネットを変更した場合。

トラフィックのピーク時の間、検出およびラーニング機能を開始していない場合。ゾーン ポリシーのステータスを未調整に変更し、Detector がピーク時のトラフィックを攻撃として識別しないようにします。

ゾーン ポリシーが未調整としてマークされている場合、Detector は現在のポリシーしきい値を監視しません。また、ポリシーしきい値が超過してもゾーンへの攻撃を検出しません。


注意 ゾーンに対する攻撃がある場合は、ゾーン ポリシーのステータスを未調整に変更しないでください。ステータスを変更すると Detector で攻撃が検出されなくなり、Detector が悪意のあるトラフィックのしきい値をラーニングするからです。

次の例は、ゾーン ポリシーのステータスに調整済みのマークを付ける方法を示しています。

user@DETECTOR-conf-zone-scannet# learning-params threshold-tuned

検出およびラーニング機能のイネーブル化

検出およびラーニング機能を使用することで、ラーニング プロセスのしきい値調整フェーズとゾーン異常検出を同時にイネーブルにできます。Detector は、ポリシーしきい値を継続的に調整すると同時に、最後に保存されたポリシーしきい値を使用してトラフィックの異常を監視します。Detector は、ゾーンに対する攻撃を検出すると、ラーニング プロセスを停止して悪意のあるトラフィックのしきい値をラーニングしないようにします。Detector が Guard をアクティブにして攻撃を軽減するように設定されている場合、Detector は Guard をアクティブにし、その後 Guard を常にポーリングします。Detector は、Guard がゾーン保護を非アクティブにしたことを識別すると、他のトラフィック異常が存在しないことを確認してから、検出およびラーニング機能を再度アクティブにします。

検出およびラーニング機能をアクティブにする前に、次のアクションを実行します。

ラーニング プロセスのポリシー構築フェーズをアクティブにして、ゾーン固有のポリシーを構築する(「ポリシー構築フェーズのアクティブ化」を参照)。

ゾーン設定モードで show learning-params コマンドを使用して、ゾーン ポリシーの現在の調整状態を表示する。ポリシーが調整済みである場合、Detector は検出およびラーニング動作を実行できます。


注意 検出およびラーニング機能をイネーブルにしたときにゾーン ポリシーが未調整である場合、しきい値調整フェーズの結果を 1 回受け入れるまで、Detector はゾーンの異常を検出できません。

ポリシーが未調整である場合は、しきい値調整フェーズの結果を 1 回受け入れるまで、Detector は次のように機能します。

ラーニング プロセスのしきい値調整フェーズだけを実行する。Detector は、トラフィックのポリシーしきい値違反を監視しないので、異常を検出しません。しきい値調整フェーズの結果を 1 回受け入れた後、Detector はポリシーを調整済みとしてマークして、トラフィック異常の監視を開始します。

しきい値選択方式が max-threshold または weighted に設定されていても、Detector はしきい値選択方式 accept-new をアクティブにする(「しきい値選択方式の設定」を参照)。しきい値調整フェーズの結果を 1 回受け入れた後、Detector は、設定されているしきい値選択方式を使用します。

詳細については、「ポリシーに対する調整済みのマーク付け」を参照してください。

しきい値調整フェーズの結果を手動で受け入れることも、Detector が結果を自動的に受け入れるように設定することもできます。Detector がラーニング プロセスの結果をいつ、どのように受け入れるかを設定することもできます(「ラーニング パラメータの設定」を参照)。

ラーニング プロセスとゾーン異常検出を同時にアクティブにするには、 detect learning コマンドを使用するか、 learning threshold-tuning コマンドと detect コマンドを順番に入力します(順序は問いません)。

しきい値調整フェーズの詳細については、「しきい値調整フェーズのアクティブ化」を参照してください。異常検出をイネーブルにする方法の詳細については、「ゾーン トラフィックの異常の検出」を参照してください。

スナップショットを使用したラーニング プロセスの結果の確認

スナップショット機能では、ラーニング プロセスの任意の段階でラーニング パラメータ(サービス、しきい値、その他のポリシー関連のデータ)のコピーを保存できます。スナップショットを使用して、次のタスクを実行できます。

2 つのゾーンのラーニング パラメータを比較する。

2 つのゾーン スナップショットを比較して、ラーニング プロセスの結果を確認し、ポリシー、サービス、およびしきい値の違いをトレースする。

ラーニング プロセス中に攻撃が発生した場合、トラフィックが通常状態のときに取得されたスナップショットのポリシーを使用して、異常検出を行う。

スナップショットからゾーン ポリシーをコピーすることで、以前のラーニング結果に基づいてゾーンを設定する。

ラーニング プロセス中、数時間ごとにスナップショットを保存することをお勧めします。スナップショットは、手動で取得することも、指定した間隔で Detector が自動的に取得するように設定することもできます。Detector は、スナップショットをゾーンごとに 100 個まで保存できます。以前のスナップショットは新しいスナップショットに置き換えられます。

この項では、次のトピックについて取り上げます。

スナップショットの作成

ラーニングの結果の比較

スナップショットの表示

スナップショットの削除

ゾーン設定へのポリシーのコピー

スナップショットの作成

ゾーンのラーニング パラメータの単一スナップショットを保存することができます。または、指定した間隔で Detector が自動的にスナップショットを取得するように設定できます。Detector は、スナップショットの取得中も、ラーニング プロセスを続行します。

Detector が指定した間隔で自動的にスナップショットを取得するように設定する方法の詳細については、「定期的なアクションの設定」を参照してください。

ゾーンのラーニング パラメータのスナップショットを 1 つ保存するには、ゾーン設定モードで次のコマンドを使用します。

snapshot [threshold-selection {new-thresholds | max-thresholds | cur-thresholds | weighted calc-weight }]

表7-3 に、 snapshot コマンドの引数とキーワードを示します。

 

表7-3 snapshot コマンドの引数とキーワード

パラメータ
説明

threshold-selection

(オプション)Detector がスナップショットのしきい値計算に使用する方式を指定します。デフォルトでは、Detector は learning-params threshold-selection コマンドで定義されたゾーンしきい値選択方式を使用します。ゾーンのデフォルトのしきい値選択方式は、 max-thresholds です。

new-thresholds

ラーニング プロセスの結果をゾーン設定に保存します。

max-thresholds

現在のポリシーのしきい値をラーニングされたしきい値と比較し、値の大きい方をゾーン設定に保存します。これがデフォルトの方式です。

cur-thresholds

ラーニング プロセスの新しいしきい値を無視して、現在のポリシーのしきい値をスナップショットに保存します。この方式を使用して、現在のゾーン ポリシーおよびポリシーしきい値のバックアップを作成できます。

weighted calc-weight

次の数式に基づいて、保存するポリシーのしきい値を計算します。

しきい値 = (新しいしきい値 * 計算された重み + 現在のしきい値 * (100 - 計算された重み )) / 100

次の例は、ポリシーの現在のしきい値とラーニング プロセスの新しいしきい値のうちで最も大きい値をしきい値として持つスナップショットを作成する方法を示しています。

user@DETECTOR-conf-zone-scannet# snapshot threshold-selection max-thresholds
 

グローバル モードでスナップショットを 1 つ保存するには、次のコマンドを使用します。

snapshot zone-name [ threshold-selection { new-thresholds | max-thresholds | cur-thresholds | weighted weight }]

ラーニングの結果の比較

2 つのスナップショットまたはゾーンのラーニングの結果を比較して、ポリシー、サービス、およびしきい値の違いをトレースできます。

この項では、次のトピックについて取り上げます。

スナップショットの比較

ゾーンの比較

スナップショットの比較

2 つのスナップショットを比較するには、ゾーン設定モードで次のコマンドを使用します。

diff snapshots snapshot-id1 snapshot-id2 [ percent ]

表7-4 に、 diff コマンドの引数を示します。

 

表7-4 diff コマンドの引数

パラメータ
説明
snapshot-id1

比較する 1 番目のスナップショットの ID。ゾーンのスナップショットのリストを表示するには、 show snapshots コマンドを使用します。

snapshot-id2

比較する 2 番目のスナップショットの ID。ゾーンのスナップショットのリストを表示するには、 show snapshots コマンドを使用します。

percent

(オプション)違いの割合。Detector は、2 つのスナップショットを比較して、指定した値よりも大きいポリシーしきい値の違いだけを表示します。デフォルトのパーセンテージは 100% で、Detector は 2 つのスナップショットにおける相違をすべて表示します。

次の例は、ゾーンのスナップショットの表示方法と、最新の 2 つのスナップショットを比較する方法を示しています。

user@DETECTOR-conf-zone-scannet# show snapshots
ID Time
1 Feb 10 10:32:04
2 Feb 10 10:49:12
3 Feb 10 11:01:50
user@DETECTOR-conf-zone-scannet# diff 2 3
 

グローバル モードでスナップショットを比較するには、次のコマンドを使用します。

diff zone-name snapshots snapshot-id1 snapshot-id2 [ percent ]

ゾーンの比較

2 つのゾーンのラーニング パラメータを比較するには、グローバル モードまたは設定モードで次のコマンドを使用します。

diff zone-name1 zone-name2 [ percent ]

表7-5 に、 diff コマンドの引数を示します。

 

表7-5 diff コマンドの引数

パラメータ
説明

zone-name1

比較対象のラーニング パラメータを持つ最初のゾーンの名前。

zone-name2

比較対象のラーニング パラメータを持つ 2 番目のゾーンの名前。

percent

(オプション)違いの割合。Detector は、2 つのゾーンを比較して、指定した値よりも大きいポリシーしきい値の違いだけを表示します。デフォルトのパーセンテージは 100% で、Detector は 2 つのゾーンにおける相違をすべて表示します。

次の例は、2 つのゾーンのラーニング パラメータの比較方法を示しています。

user@DETECTOR# diff scannet scannet-mailserver

スナップショットの表示

ゾーン設定モードで次のコマンドを入力すると、ゾーンのスナップショットまたはスナップショット パラメータのリストが表示され、ゾーンのラーニングの結果を包括的に把握できます。

show snapshots [ snapshot-id [ policies policy-path ]]

表7-6 に、 show snapshots コマンドの引数とキーワードを示します。

 

表7-6 show snapshots コマンドの引数とキーワード

パラメータ
説明

snapshot-id

(オプション)表示するスナップショットの ID。ポリシーを指定しない場合、デフォルトでは、ゾーンのスナップショットすべてのリストが表示されます。スナップショット ID を表示するには、このコマンドを引数なしで使用します。

policies policy-path

(オプション)表示対象のポリシーのグループを指定します。詳細については、「ゾーン ポリシーについて」を参照してください。

グローバル モードでスナップショットを表示するには、次のコマンドを使用します。

show zone zone-name snapshots [ snapshot-id [ policies policy-path ]]

show zone zone-name snapshots snapshot-id policies policy-path コマンド出力のフィールドは、 show policies コマンド出力のフィールドと同じです。詳細については、「ポリシーの表示」を参照してください。

表7-7 に、 show snapshots コマンド出力のフィールドを示します。

 

表7-7 show snapshots コマンド出力のフィールドの説明

フィールド
説明
ID

スナップショット ID。

Time

スナップショットが取得された日付と時刻。

次の例は、ゾーンのスナップショットのリストを表示する方法と、スナップショット 2 の dns_tcp に関連するポリシーを表示する方法を示しています。

user@DETECTOR-conf-zone-scannet# show snapshots
ID Time
1 Feb 10 10:32:04
2 Feb 10 10:49:12
user@DETECTOR-conf-zone-scannet# show snapshots 2 policies dns_tcp

スナップショットの削除

古いスナップショットを削除して空きディスク スペースを得るには、ゾーン設定モードで次のコマンドを入力します。

no snapshot snapshot-id

snapshot-id 引数には、既存のスナップショットの ID を指定します。すべてのゾーンのスナップショットを削除するには、アスタリスク(*)を入力します。スナップショットの詳細を表示するには、show snapshots コマンドを使用します。

次の例では、すべてのゾーンのスナップショットを削除する方法を示しています。

user@DETECTOR-conf-zone-scannet# no snapshot *

ゾーン設定へのポリシーのコピー

ポリシーの全体の設定または部分的な設定を現在のゾーンにコピーできます。

次の情報をコピーできます。

サービスのコピー:ソース ゾーンからゾーンにサービスをコピーできます。サービスをコピーすると、サービス検出のためにポリシー構築フェーズを適用しなくても、ゾーン ポリシーを設定できます。サービスをゾーンにコピーするには、まず、そのゾーンが同様のトラフィック パターンを持つことを確認します。

ポリシー パラメータのコピー:ゾーン ポリシー パラメータをゾーンのスナップショットのポリシー パラメータに置き換えることができます。この設定を行うことにより、以前のラーニングの結果に戻すことができます。Detector は、既存ポリシーのパラメータだけをコピーします。

ゾーンのポリシーをコピーするには、ゾーン設定モードで次のコマンドを使用します。

c opy-policies { snapshot-id | src-zone-name [ service-path ]}

表7-8 に、 copy-policies コマンドの引数とキーワードを示します。

 

表7-8 copy-policies コマンドの引数とキーワード

パラメータ
説明

snapshot-id

ポリシーのコピー元のスナップショットの ID。スナップショットの ID を表示するには、 show snapshots コマンドを使用します。

src-zone-name

サービス ポリシーのコピー元のゾーン名。

service-path

(オプション)コピー元のサービス。サービス パスの形式は、次のいずれかです。

policy-template:ポリシー テンプレートに関連するすべてのポリシーをコピーします。

policy-template/service-num:ポリシー テンプレートおよび指定のサービスに関連するすべてのポリシーをコピーします。

デフォルトでは、すべてのポリシーとサービスがコピーされます。

次の例は、ポリシー テンプレート tcp_connections に関連するすべてのサービスを、ゾーン webnet から現在のゾーン scannet にコピーする方法を示しています。

user@DETECTOR-conf-zone-scannet# copy-policies webnet tcp_connections/
 

次の例は、ゾーンのスナップショットのリストを表示し、次に ID が 2 のスナップショットからポリシーをコピーする方法を示しています。

user@DETECTOR-conf-zone-scannet# show snapshots
ID Time
1 Feb 10 10:32:04
2 Feb 10 10:49:12
user@DETECTOR-conf-zone-scannet# copy-policies 2

ゾーン ポリシーのバックアップ

ゾーン設定モードで次のコマンドを使用して、いつでも現在のゾーン ポリシーのバックアップを作成できます。

snapshot threshold-selection cur-thresholds

次の例は、現在のゾーン ポリシーのバックアップ方法を示しています。

user@DETECTOR-conf-zone-scannet# snapshot threshold-selection cur-thresholds