IPS シグネチャについて

IPSポリシーを整理し、管理しやすい状態に保つために、攻撃オブジェクトをグループ化できます。攻撃オブジェクトグループには、1つ以上のタイプの攻撃オブジェクトを含めることができます。Junos OSは、以下の3種類の攻撃グループをサポートしています。

• IPSシグネチャ—シグネチャデータベースに存在するオブジェクトが含まれます。

• 動的グループ—特定の一致基準に基づく攻撃オブジェクトが含まれます。シグネチャの更新中に、動的グループメンバーシップは、そのグループの一致基準に基づいて自動的に更新されます。例えば、動的攻撃グループフィルターを使用して、特定のアプリケーションに関連する攻撃を動的にグループ化できます。

• 静的グループ—攻撃定義で指定された攻撃のリストが含まれます。

シグネチャ攻撃オブジェクトは、ステートフル攻撃シグネチャ(攻撃の特定のセクション内に常に存在するパターン)を使用して、既知の攻撃を検知します。また、以下のものも含まれています。

• 攻撃を実行するために使用されるプロトコルまたはサービス、および攻撃が発生するコンテキスト

• シグネチャ攻撃に固有のプロパティ(攻撃コンテキスト、攻撃方向、攻撃パターン、プロトコル固有のパラメーター(TCP、UDP、ICMP、またはIPヘッダーフィールド)

特定の通常のネットワークアクティビティが悪意のあるものと解釈される可能性があるため、シグネチャによって誤検知が生じる可能性があります。たとえば、一部のネットワークアプリケーションやオペレーティングシステムは多数のICMPメッセージを送信します。シグネチャベースの検出システムでは、攻撃者がネットワークセグメントをマッピングしようとしていると解釈する可能性があります。誤検知を最小限に抑えるには、シグネチャパラメーターを編集します(シグネチャを微調整するため)。

Security DirectorのIPSポリシーシグネチャページでIPSシグネチャを作成、フィルタリング、変更、または削除できます。シグネチャデータベースをダウンロードして、セキュリティデバイスにインストールできます。ダウンロードとインストールのタスクをスケジュールし、これらのタスクが特定の時間間隔で繰り返されるように設定することで、ダウンロードとインストールのプロセスを自動化できます。これにより、シグネチャデータベースが最新の状態であることが保証されます。