[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:03690] Re: 昨日の某会議
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:03690] Re: 昨日の某会議
- From: DANNA <danna@xxxxxxxxxxx>
- Date: Fri, 18 Jul 2003 10:54:21 +0900
ども。ダンナ@サポセンです。
コンピュータフォレンジックを僕なりに定義してみました。いかがなも
んでそ。
コンピュータ・フォレンジック
コンピュータ犯罪に対する科学的捜査
コンピュータシステムや監査ログの改ざん、破壊など、これまでの手
法では証拠を検出することが困難な被害を受けたコンピュータに対し
、技術的な高度な手法によってコンピュータの深部を調査・分析する
ことにより、不正アクセスの追跡を行なう手法。
こんなカンジ。
> そうするとワームなりであれば、従来の NIDS で検出可能だと
> 思いますが、(攻撃方法の詳細が公開されないと) NIDS による
> 検出って難しくなりませんか?
じつは、最近インバウンドのトラヒックを監視よりも、アウトバウンド
を監視して、シェルのプロンプトとかバナーとかを追っかけるようにし
てます。
NIDSシグネチャの公開は素早いことは素早いんだけど、既知の手法でな
ければならない点は相変わらずなんですよね。アノマリな手法が実現す
るのは遠い未来だろうし。
てなワケでNIDSはそろそろ終わりかなと。今後はトラヒックロガーとか
レコーダあたりでどうでしょうね。根本的な解決にはなってませんが。
不正アクセス検知も本当に次の局面に差し掛かってますね。IDPとか自動
シグネチャ最適化IDSとかは小手先の技なんじゃないかと思ってます。
# やっぱりOSにインプリしてもらいたいなぁ。
んでは。
>--------- みっきーのネットワーク研究所 ---------<
> danna@xxxxxxxxxxx Security-Stadium staff <
> sec-sta : http://www.security-stadium.org <
> HP : http://www.hawkeye.ac/micky <
> PGP : http://www.hawkeye.ac/micky/micky.pub <
>------------------------------------------------<