[connect24h:01891] 不正データ収集と集計方法 (wa s 2 月の不正アクセスのグラフとADSL)

[Keiji Takeda <keiji@xxxxxxxxxxxxxx>]

武田です．

皆様各種コメントありがとうございました．

象徴のWeb改ざんや企業からの報道発表などのときに，○○のサイトで
は月に何万件の不正アクセスの試みがあったなんて報道されることがあります．

皆さんの中でも企業の情報システムに対し今月は○万件の不正の試み
が観測されましたなんてデータをセキュリティ対策予算を申請するために
書いていたりするかもしれません．

で，一般的な企業や官庁のトップはこの何万とかいう膨大な数字に
惑わされることが多いように思います．

しかし皆さんおわかりのようにこの何万という数字には意味がないですよね．
なんていったって共通の尺度が無いわけですから．
自分でちょっとプロバイダからスキャンすれば何万っていう数字はすぐに生み出す
ことができてしまうわけです．

このような脅威の状態を示す尺度を算定する方法があればいいなあというのが
そもそもの発言の趣旨です．基本的には私は同一アドレスからのプローブはすべて
一つとするのがいいかなあと思っています．
（もちろん分散スキャンとかはありますが実際に行われるのは極めてまれでその場合も
数は少ないことが多い）

実際に攻撃に用いられれている手法の分析はまた別の問題です．
しかしこれはこれで効率の良いデータの集め方なんていうのも考えてみる
価値はありそうですね．

いずれにしてもこのあたりは大学等で行ういい研究テーマになるのではないでしょうか？
われこそはと思われる方はぜひ考えてみてください．
（この分野は研究テーマが山積みで，おもしろいですね．）

以前（今も？）snortのログをという話がありましたが，ログの出力形式や，
シグネチャのチューニングの状態，ネットワーク利用の状態なども
それぞれ差がありますからこのあたりの違いをどう吸収するかなんていう
ところが課題になるのかなあなんて考えています．

Keiji Takeda ( http://www.sfc.keio.ac.jp/~keiji/ )