ICMPを用いた侵入検知システムの負荷軽減 著者:岡部吉彦 B4 笹川 真
はじめに 背景 通信技術やインターネットの整備・拡大 インターネット依存の増大 不正行為・犯罪による被害の増加 通信技術やインターネットの整備・拡大 インターネット依存の増大 不正行為・犯罪による被害の増加 セキュリティ技術の確立の必要性 目的 ICMPを用いての侵入検知システム(IDS)の 負荷軽減
ファイアウォール OSの種類を問わず数多くで使用 定めたルールに基づき通過を許すパケットとそうでないパケットを判別する ボーダーラインセキュリティ ファイアウォールのみでは不十分
侵入検知システム(IDS) 種類 HIDS(ホストベースIDS) NIDS(ネットワークベースIDS) 解析方法 HIDS(ホストベースIDS) NIDS(ネットワークベースIDS) 解析方法 MID(Missue Intrusion Detection) AID(Anomaly Intrusion Detection)
ポートスキャンの検知 ポートスキャンの種類 今回の検知方法・対象 TCPスキャン FINスキャン NULLスキャン SYNスキャン クリスマスツリースキャン UDPスキャン 今回の検知方法・対象 NIDSを用いてUDPスキャンを検知
ポートスキャンの検出方法 ポートスキャンの検出にICMPを使用 ホストへのパケットではなく、ホストからのICMPを観測 (Snort[11]を元に検出) 方法1:ホストからのICMPの反応を観測 方法2:ホストへの反応を見る(学内へのみ)
実験結果
評価 負荷軽減に成功 精度的見地からも十分の結果
今後の課題 ポートスキャン以外の不正アクセスの検知 ホストダウン型の攻撃(DoS)の脆弱性