Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPS シグニチャについて

侵入防御システム(IPS)は、既知の脅威のシグネチャとトラフィックを比較し、脅威が検出されるとトラフィックをブロックします。ネットワーク侵入とは、ネットワークリソースに対する攻撃やその他の誤用です。このようなアクティビティを検出するために、IPS はシグネチャを使用します。シグネチャは、デバイスが検出して報告するネットワーク侵入のタイプを指定します。シグネチャーに一致するトラフィックパターンが見つかるたびに、IPSはアラームをトリガーし、トラフィックが宛先に到達するのをブロックします。シグネチャ データベースは、IPS の主要コンポーネントの 1 つです。これには、攻撃オブジェクト、アプリケーション シグネチャ オブジェクト、サービス オブジェクトなど、IPS ポリシー ルールの定義に使用されるさまざまなオブジェクトの定義が含まれています。

IPSポリシーを整理して管理しやすくするために、攻撃オブジェクトをグループ化することができます。攻撃オブジェクト グループには、1 つ以上のタイプの攻撃オブジェクトを含めることができます。Junos OS は、以下の 3 種類の攻撃グループをサポートしています。

  • IPS シグネチャ - シグネチャ データベースに存在するオブジェクトが含まれます。

  • 動的グループ - 特定のポリシーの一致基準を定義に基づいて攻撃オブジェクトを含めます。署名の更新時に、動的グループメンバーシップは、そのグループのポリシーの一致基準を定義に基づいて自動的に更新されます。例えば、動的攻撃グループ・フィルターを使用して、特定のアプリケーションに関連する攻撃を動的にグループ化できます。

  • 静的グループ - 攻撃定義で指定されている攻撃のリストが含まれます。

署名攻撃オブジェクトは、ステートフル攻撃署名 (攻撃の特定のセクション内に常に存在するパターン) を使用して、既知の攻撃を検出します。また、以下も含まれます。

  • 攻撃の実行に使用されたプロトコルまたはサービス、および攻撃が発生するコンテキスト。

  • シグネチャ攻撃に固有のプロパティ - 攻撃コンテキスト、攻撃方向、攻撃パターン、およびプロトコル固有のパラメーター (TCP、UDP、ICMP、または IP ヘッダー フィールド)。

特定の通常のネットワークアクティビティが悪意のあるものと解釈される可能性があるため、シグネチャによって誤検知が発生することがあります。たとえば、一部のネットワーク アプリケーションまたはオペレーティング システムは多数の ICMP メッセージを送信します。シグネチャ ベースの検出システムは、攻撃者がネットワーク セグメントをマッピングしようとしたと解釈する可能性があります。誤検知を最小限に抑えるには、署名パラメーターを編集して (署名を微調整するため)。

Security Director の [IPS Policy Signatures] ページで、IPS シグネチャを作成、フィルタリング、変更、または削除できます。シグネチャデータベースをダウンロードして、セキュリティデバイスにインストールすることができます。ダウンロードとインストールのタスクをスケジュールし、これらのタスクが特定の時間間隔で繰り返されるように構成することで、ダウンロードとインストールのプロセスを自動化できます。これにより、署名データベースが最新の状態に保たれます。

関連資料