スキャンが認識されるのは、定義された時間間隔内に単一のソース IP アドレスが情報収集を複数回試行した場合です。スキャンは有害ではありませんが、深刻なアタック、特にアクセス違反アタックの前には、多くの場合、情報を収集するためのスキャンが行われます。スキャンは、信頼性のあるソース IP アドレスを使用する必要があるため、関心を持ってモニターするイベントとなりえます。
IDS サポートはスキャナーを、指定した時間間隔内に複数の固有リソース (ポートまたはインターフェース) にアクセスするソース・ホストと定義しています。ポリシーによって、固有リソースの数 (しきい値) および時間間隔 (インターバル) を指定することができます。次の 2 つのカテゴリーのスキャンがサポートされています。
短時間 (通常、5 分未満。プログラムによって駆動) に、多数のリソースに高速でアクセスします。
長時間にわたり (通常は数時間)、異なるリソースに断続的にアクセスします。これは検知されるのを避けようとしているスキャナーの場合があります。
以下のシナリオはスキャナーの例です。
次のシナリオは、スキャナーの例とは見なされません。
次のシナリオのようなスキャンは、IDS によって検出されない場合があります。
スキャン・ポリシーは、以下の条件およびアクションを指定する機能を提供しています。
スキャンに使用される個々のパケットは、正常、少し疑わしい、非常に疑わしいというレベルに分類することができます。スキャン・モニターのパフォーマンスへの影響と分析負荷を制御するために、起こりうるスキャン・イベントの感度レベルを高、中、または低に設定します。
表 1 は、ポリシーに指定する感度がスキャン・イベントのカウントにどのように影響するかを示したものです。イベントの疑わしさのレベルは、スタックによって判別されます。
感度 (ポリシーから) | 正常なイベント | 少し疑わしいイベント | 非常に疑わしいイベント |
---|---|---|---|
低 | カウント | ||
中 | カウント | カウント | |
高 | カウント | カウント | カウント |
誤判定を減らす、またはなくすために、IDS ではポリシーに指定したソース IP アドレス、サブネット・マスク、および (オプションで) ソース・ポート番号をスキャン検出から除外できます。UDP および TCP ポート・スキャンでは、 スキャン検出を特定の宛先ポート範囲に制限できます。これらのポート範囲には感度レベル (高、中、低) を指定できます。
IDS は誤判定が生じる事態を減らすために、さらに別の方法として、スキャン・インターバル中に特定のソース IP アドレスから行われた固有のイベントだけをカウントしています。イベントが固有のイベントと見なされるのは、その IP プロトコル、宛先 IP アドレスおよび宛先ポート (UDP または TCP) またはタイプ (ICMP) が、そのスキャン・インターバルにまだ一度も現れたことがなかった場合です。
IDS スキャン・ポリシーは、高速スキャンのインターバルとしきい値、および低速スキャンのインターバルとしきい値をサポートしています。
高速スキャンが認識されるのは、高速スキャン・インターバルにおける固有イベント数が高速スキャンしきい値に到達した場合です。
低速スキャンが認識されるのは、低速スキャン・インターバルにおける固有イベントの数が低速スキャンしきい値に到達した場合です。
IDS は、高速スキャン・インターバルの半分以下の内部インターバルを使用して、スキャン・イベントを数えます。 内部インターバルの間に、固有イベントの数が低速スキャンしきい値に 到達すると、それ以上のイベントはカウントされません。ポリシーが、アクションのトレース・データ・パラメーターを使用して要求する場合、これら追加のイベントはトレースされます。
スキャン・イベントは次のスキャン・タイプに分類されます。
カウント可能なスキャン・イベントはすべて発信元ソース IP アドレスに対してカウントされ、すべてのカテゴリーからのカウント可能イベントの合計数が、ポリシーのしきい値と比較されます。発信元ソース IP アドレスがポリシーによって定義された高速または低速しきい値に到達すると、 アクション内の通知オプションを使用して以下のアクションを要求した場合には、それらが実行されます。
IDS が特定のソース IP アドレスについてスキャンを検出すると、指定のインターバル内では、そのソース IP アドレスについてそれ以上のスキャン・イベントは報告されません。高速スキャンおよび低速スキャンのインターバルとしきい値はグローバルで、すべてのイベント・カテゴリーに 1 つの値セットが適用されます。