snort, Suricata, broなどのオープンソースなIDSまたはフォレンジックツールを利用した簡単な異常検知のしくみを試作。
通常 IDSでは,攻撃を検出するため,悪意のあるトラフィックそのものを検出するルールを作成し,それが生成したアラートを他の装置のログなどと突き合わせ解析を行う。
今回の試作ではオープンソースなIDSを利用し,攻撃そのものの検知ではなく,正当な通信とは異なる,いわゆる異常なイベントを見つけることを目的。具体的には,IDSに全パケットキャプチャを入力し,正当を含むすべてのデータを圧縮してテキストベースでひたすら保管。
E.g. DNSのリクエスト&レスポンス 192.168.1.1:1025 -> 172.16.1.1:53 A www.exapmle.com ID:12345 10.1.1.1
また,以下は異常と判断するための情報
上記の圧縮テキストデータに対し,正常な情報をキーとした簡単な検索条件を適用し,そこから異常なイベントを検出。
石川 章史 (シスコシステムズ合同会社)
簡単お手軽異常検知:発表資料 (石川、PDF)