Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPS シグネチャについて

侵入防御システム(IPS)は、トラフィックを既知の脅威のシグネチャと比較し、脅威が検出されるとトラフィックをブロックします。ネットワーク侵入とは、ネットワーク リソースに対する攻撃またはその他の誤用です。このようなアクティビティを検知するために、IPS はシグネチャを使用します。シグニチャは、デバイスが検出して報告するネットワーク侵入のタイプを指定します。シグネチャに一致するトラフィックパターンが見つかると、IPSはアラームをトリガーし、トラフィックが宛先に到達するのをブロックします。シグニチャ データベースは、IPS の主要コンポーネントの 1 つです。攻撃オブジェクト、アプリケーションシグニチャオブジェクト、サービスオブジェクトなど、IPSポリシールールの定義に使用されるさまざまなオブジェクトの定義が含まれています。

IPS ポリシーを整理して管理しやすくするために、攻撃対象をグループ化できます。攻撃オブジェクト グループには、1 つ以上の種類の攻撃オブジェクトを含めることができます。Junos OSは、次の3種類の攻撃グループをサポートしています。

  • IPS シグネチャ - シグニチャ データベースに存在するオブジェクトが含まれます。

  • 動的グループ - 特定の一致基準に基づく攻撃オブジェクトが含まれます。署名の更新中、動的グループ メンバーシップは、そのグループの一致条件に基づいて自動的に更新されます。たとえば、動的攻撃グループ フィルターを使用して、特定のアプリケーションに関連する攻撃を動的にグループ化できます。

  • 静的グループ - 攻撃定義で指定された攻撃のリストが含まれます。

シグネチャ攻撃オブジェクトは、ステートフル攻撃シグネチャ(攻撃の特定のセクション内に常に存在するパターン)を使用して既知の攻撃を検出します。また、次のものも含まれます。

  • 攻撃の実行に使用されたプロトコルまたはサービス、および攻撃が発生したコンテキスト。

  • シグネチャ攻撃に固有のプロパティ(攻撃コンテキスト、攻撃方向、攻撃パターン、およびプロトコル固有のパラメーター (TCP、UDP、ICMP、または IP ヘッダー フィールド)。

特定の通常のネットワークアクティビティが悪意のあるものと解釈される可能性があるため、シグネチャによって誤検知が生じる可能性があります。たとえば、一部のネットワーク アプリケーションやオペレーティング システムは多数の ICMP メッセージを送信しますが、シグネチャ ベース検出システムはこれを攻撃者がネットワーク セグメントをマッピングしようとする試みと解釈する場合があります。署名パラメータを編集することで誤検知を最小限に抑えることができます(署名を微調整するため)。

IPS 署名の作成、フィルター、変更、または削除は、Security Director の IPS ポリシー署名ページで行うことができます。シグネチャ データベースをダウンロードして、セキュリティ デバイスにインストールできます。ダウンロードとインストールのタスクをスケジュールし、これらのタスクが特定の時間間隔で繰り返されるように構成することで、ダウンロードとインストールのプロセスを自動化できます。これにより、署名データベースが最新になります。

関連ドキュメント