IDS Signatures

Cisco IDSネットワークベースソリューションは、シグネチャベースです。 基本的に、シグネチャとは、パケットまたは一連のパケットを、パケット ヘッダーまたはデータ ペイロード情報との一致など、特定のコンテンツについて検査するルールです。 シグネチャは、Cisco ネットワークベース IDS ソリューションの中核をなすものです。 7805>

TIP

IDSシグネチャベースのソリューションが優れているのは、必ずしもシグネチャの数ではないことを指摘することは重要です。 その代わり、攻撃を検出する際のシグネチャの柔軟性です。 たとえば、あるIDSソリューションでは、3つの攻撃を検出するために3つのシグネチャを必要とするかもしれませんが、別のソリューションでは、1つのシグネチャで3つの攻撃をすべて検出できるかもしれません。

Signature Implementations

シグネチャには、2つの実装があります。 パケットヘッダを検査し、一致するものがあるかどうかを調べる

  • Content? 一致するパケットの内容を調べます

  • コンテキスト署名は、一致するものを探すときにパケットヘッダ情報のみを調べます。 この情報には、IPアドレスフィールド、IPプロトコルフィールド、IPオプション、IPフラグメントパラメータ、IP、TCP、およびUDPチェックサム、IPおよびTCPポート番号、TCPフラグ、ICMPメッセージタイプなどが含まれます。

    一方、コンテンツ署名は、パケットヘッダーと同様にパケットのペイロード内部も調べます。 たとえば、多くの Web サーバー攻撃は、アプリケーションデータに含まれる不正な URL や特定の URL を送信します。 7805>

    シグネチャ構造

    シグネチャには2つの実装があるほか、次の2つの構造のうち1つをサポートしています:

    • Atomic? 一致する単一パケットを検査します。

    • Composite? 一致するパケットのストリームを調べる

    アトミック構造を使用するシグネチャの例としては、TCPセグメントヘッダのSYNとFINフラグの両方を調べるものがある。 この情報はTCPヘッダーに含まれ、これは1つのIPパケットに含まれるため、一致するかどうかを判断するために1つのパケットのみを検査する必要があります。

    しかしながら、いくつかのタイプの攻撃は、多くのパケットとおそらく多くの接続にまたがって広がっています。 複合構造化署名は、センサーが一致するパケットのストリームを検査します。

    基本的な分類

    一般に、シグネチャには4つの基本的なカテゴリがあります。 これらのシグネチャは、ICMPエコー要求やTCPまたはUDP接続の開閉など、通常のネットワーク活動で起動します。

  • Reconnaissance? これらのシグネチャは、到達可能なリソースやホスト、およびそれらに含まれる可能性のある脆弱性を発見する攻撃で起動します。 偵察攻撃の例としては、Pingスイープ、DNSクエリー、ポートスキャンなどがあります。

  • Access? これらの署名は、不正アクセス、権限の不正な昇格、保護されたデータや機密データへのアクセスなどのアクセス攻撃についてトリガーします。 アクセス攻撃の例としては、Microsoft IIS に対する Unicode 攻撃である Back Orifice や、NetBus などがあります。

  • DoS? これらのシグネチャは、リソースやシステムのレベルを下げようとする攻撃や、クラッシュさせようとする攻撃で発動します。 DoS攻撃の例としては、TCP SYNフラッド、Ping of Death、Smurf、Fraggle、Trinoo、Tribe Flood Networkなどがあります。

  • Cisco Signature Categories

    シグネチャを実装するにあたって、Ciscoではシグネチャの分類を表16-1に示す8つのカテゴリに分類しています。 Ciscoシグネチャの分類カテゴリ

    シグネチャシリーズ

    説明

    Signature on IP header rules.SIGの分類カテゴリは、IPヘ ッダーのルールに関するシグネチャです。 IPオプション、IPフラグメント、不正または無効なIPパケットを含む

    ICMPパケット上のシグネチャ(ICMP攻撃を含む)。 pingスイープ、ICMPトラフィック記録

    TCPホストスイープ、TCP SYNフラッド、TCPポートスキャンなどTCPを使用する攻撃のシグネチャ。 TCPセッションハイジャック、TCPトラフィックレコード、TCPアプリケーション、電子メール攻撃、NetBIOS攻撃、レガシーWeb攻撃

    UDP を使用した攻撃に関するシグネチャ。 UDP ポートスキャン、UDP アプリケーション、UDP トラフィック記録など

    HTTP による Web サーバおよびブラウザ攻撃のシグネチャ

    クロスプロトコル(マルチプロトコル)攻撃に関するシグネチャです。 分散型DoS(DDoS)攻撃、DNS攻撃、Loki攻撃などを含む。 認証攻撃、RPC攻撃

    TCPセッション/アプリケーションで文字列の一致を探すシグネチャ

    10,000

    Cisco ルーターの ACL 違反でトリガーするシグネチャ(deny 文にマッチ)