ＩＣＭＰを用いた侵入検知
システムの負荷軽減
著者：岡部吉彦
Ｂ４ 笹川 真
1
はじめに
► 背景
通信技術やインターネットの整備・拡大
インターネット依存の増大
不正行為・犯罪による被害の増加
セキュリティ技術の確立の必要性
► 目的
ＩＣＭＰを用いての侵入検知システム(ＩＤＳ)の
負荷軽減
2
ファイアウォール
► ＯＳの種類を問わず数多くで使用
► 定めたルールに基づき通過を許すパケットとそ
うでないパケットを判別する
► ボーダーラインセキュリティ
► ファイアウォールのみでは不十分
3
侵入検知システム（ＩＤＳ）
► 種類
ＨＩＤＳ（ホストベースＩＤＳ）
ＮＩＤＳ（ネットワークベースＩＤＳ）
► 解析方法
ＭＩＤ（Missue Intrusion Detection)
ＡＩＤ（Anomaly Intrusion Detection）
4
ポートスキャンの検知
► ポートスキャンの種類
ＴＣＰスキャン
ＦＩＮスキャン
ＮＵＬＬスキャン
ＳＹＮスキャン
クリスマスツリースキャン
ＵＤＰスキャン
► 今回の検知方法・対象
ＮＩＤＳを用いてＵＤＰスキャンを検知
5
ポートスキャンの検出方法
► ポートスキャンの検出にＩＣＭＰを使用
► ホストへのパケットではなく、ホストからのＩＣＭ
Ｐを観測
（Snort[11]を元に検出）
方法１：ホストからのＩＣＭＰの反応を観測
方法２：ホストへの反応を見る(学内へのみ)
6
実験結果
7
評価
► 負荷軽減に成功
► 精度的見地からも十分の結果
8
今後の課題
► ポートスキャン以外の不正アクセスの検知
► ホストダウン型の攻撃（DoS）の脆弱性
9