3種類の異常トラフィック検出機能の比較

GenieATMには以下の3種類の異常トラフィック検出機能があります。

それぞれの特徴は以下の表の通りです。

種類 検出ベース シグニチャ シグニチャ
追加
ミチゲーション
起動
検出
時間
プロトコル
不正使用
送信先IPアドレス DDoS攻撃検出を想定

  • 総トラフィック
  • UDPやICMPなどの個別プロトコル
  • 特定のTCPフラグを持つパケット
不可 自動・手動 1分*
アプリケー
ション異常
送信元IPアドレス
送信先IPアドレス
DDoS攻撃・Worm検出を想定

  • パケット長
  • プロトコル
  • プレフィックス
  • ポート番号

など

可能 自動・手動 1分*
トラフィック
異常
ネットワーク単位 閾値定義のみ 不可 なし 5分

* バージョン5.6.3までは2分

プロトコル不正使用はL3/L4レベルの異常トラフィックの検知を,アプリケーション異常は特定のL7アプリケーションプロトコルにおける異常パケットを検知できるようにデザインされています。しかし,ともに個別IPアドレスに関するトラフィックを監視対象とし,ミチゲーションの自動発動の契機とすることができるなど共通点も多いため,用途に応じて使い分けてください。アプリケーション異常は,送信元IPアドレスベースでの異常トラフィック検出が可能である点と,新たなシグニチャをユーザが定義することができる点が最大の特徴です。一方,プロトコル不正使用には,サブネットワークごとに独自の閾値が設定可能なほか,Land攻撃(送信元と送信先のIPアドレスが同じである不正パケット)の検出のように,アプリケーション異常のシグニチャでは定義できないものも含まれています。

一方,トラフィック異常は,ネットワークリソースの総トラフィック量がネットワーク帯域などに比較して適切であるかを監視するために使用されます。ネットワークリソースとしては,サブネットワーク,フィルタ,ルータ・インターフェースが指定できます。

それぞれの異常トラフィック検出機能の詳細については,個別の項目をご覧ください。

関連トピック

異常トラフィック検出機能 – プロトコル不正使用
異常トラフィック検出機能 – アプリケーション異常
異常トラフィック検出機能 – トラフィック異常

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です