[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:03337] Re: 被害判定システム
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:03337] Re: 被害判定システム
- From: YASUDA Yasunori <Yasunori.Yasuda@xxxxxxxxxxx>
- Date: Fri, 23 May 2003 16:00:56 +0900
みなさま、はじめまして。
安田です。
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
To: port139ml@xxxxxxxxxxxxx
Subject: [port139ml:03322] Re: 被害判定システム
Date: Fri, 23 May 2003 08:56:43 +0900
> Port139 伊原です。
>
> On Wed, 21 May 2003 15:57:22 +0900
> Hiroaki TERASHIMA <terashima.hiroaki@xxxxxxxxxxxx> wrote:
>
> >> 沖電気、IDSと連動し不正アクセス被害を判別する「被害判定システム」を開発
> >> http://www.zdnet.co.jp/enterprise/0305/20/epn12.html
> snip
> >ネットワーク型IDSとホスト型IDSの相関分析装置と考えればいいんですかね?
> >LinuxWorld Expo/Tokyo 2003に行った人に聞いてみたい・・・。
>
> で結局、誰か見にいかれました?:-)
見てきました。
安全な状態で監視対象のホストの動作状態のスナップショットをとって
おいて、IDS のログを受けたときに監視対象のホストの動作状態を取得
し、差分があったら侵入とみなすというロジックです。
ホストの状態のパラメータとして
・プロセスツリーの状態
プロセス名, 親子関係, uid, 数
・ポートの状態
netstat -an で取れる情報(open/close, established等)
・オープンするファイル
open システムコールをチェック
です。ポリシはルールベースで指定するようなのですが、GUI で手動で
設定する方法と、Intrusion Free の状態で動作させて、その状態から
ルールを落とす方法と二種類用意されているそうです。
後者の方法は、動作の内容をそのままルールに落とすそうなので、ある
程度網羅的に動作させないと false positive が発生してしまうと思い
ます。
以上、簡単ですがご報告まで。
--
YASUDA Yasunori/安田 泰勲