GenieATMには以下の3種類の異常トラフィック検出機能があります。
それぞれの特徴は以下の表の通りです。
種類 | 検出ベース | シグニチャ | シグニチャ 追加 |
ミチゲーション 起動 |
検出 時間 |
---|---|---|---|---|---|
プロトコル 不正使用 |
送信先IPアドレス | DDoS攻撃検出を想定
|
不可 | 自動・手動 | 1分* |
アプリケー ション異常 |
送信元IPアドレス 送信先IPアドレス |
DDoS攻撃・Worm検出を想定
など |
可能 | 自動・手動 | 1分* |
トラフィック 異常 |
ネットワーク単位 | 閾値定義のみ | 不可 | なし | 5分 |
* バージョン5.6.3までは2分
プロトコル不正使用はL3/L4レベルの異常トラフィックの検知を,アプリケーション異常は特定のL7アプリケーションプロトコルにおける異常パケットを検知できるようにデザインされています。しかし,ともに個別IPアドレスに関するトラフィックを監視対象とし,ミチゲーションの自動発動の契機とすることができるなど共通点も多いため,用途に応じて使い分けてください。アプリケーション異常は,送信元IPアドレスベースでの異常トラフィック検出が可能である点と,新たなシグニチャをユーザが定義することができる点が最大の特徴です。一方,プロトコル不正使用には,サブネットワークごとに独自の閾値が設定可能なほか,Land攻撃(送信元と送信先のIPアドレスが同じである不正パケット)の検出のように,アプリケーション異常のシグニチャでは定義できないものも含まれています。
一方,トラフィック異常は,ネットワークリソースの総トラフィック量がネットワーク帯域などに比較して適切であるかを監視するために使用されます。ネットワークリソースとしては,サブネットワーク,フィルタ,ルータ・インターフェースが指定できます。
それぞれの異常トラフィック検出機能の詳細については,個別の項目をご覧ください。
関連トピック
異常トラフィック検出機能 – プロトコル不正使用
異常トラフィック検出機能 – アプリケーション異常
異常トラフィック検出機能 – トラフィック異常