Snortを用いた侵入防止システムの構築と侵入検知処理高速化の検討,
林 經世,横山 幹,高原 厚,岩橋 政宏,
情報処理学会研究報告 2003-CSEC-21, pp.59--64, 2003.
IDS(不正侵入検知システム)の処理能力がnetwork traffic量の増大に伴い低下することを問題視した論文.特定の状況(攻撃用の通信しか存在しない)ではなく,平時の環境を想定しつつ(?),不正検知システムの処理能力の評価を行い,高トラフィック時でも十分に検知処理が可能な検知システムの検討を行った,また検知結果をもとに通信を遮断する侵入防御システムの評価も行った
Snortを利用している.Snortはプリプロセッサの処理後,Signatureを用いた検索を行うが,それは
1. パケット識別によるフィルタリング処理
2. 文字列などのパターンマッチング処理
3. プロトコル解析処理
の3つである.このなかで最も時間がかかる文字列パターンマッチングに注目し,そのアルゴリズムの高速化と,処理の負荷軽減について考察.さらに不正侵入対応機能としてのFlexResp機能についても評価した.
処理負荷軽減方法としてあげられているのは以下の三種類
I. 探索木パターンマッチアルゴリズムの利用
II. Kernelパケットフィルタリングの併用による処理対象削減
III. HW/SW併用処理とあるが,Hardwareパケットフィルタリングによる処理対象削減
結果はほぼ予想通りなのではと理解できるが,アルゴリズムの改善などでは場合によっては改善されない場合もあり,kernelによるパケットフィルタリングもそちらの処理の方が負荷となって不正検知の処理能力が低下するという場合も発生していた.
つまり結果としてわかったことは,明らかに不要だと考えられるパケットは事前にフィルタリングすれば,不正侵入検知処理は高トラフィックでも十分稼動する能力を持つ.またフィルタリングもハードウェア製の方がCPUに負担をかけないだけいいということがわかる.
またFlexRespにもその通信強制遮断対応に限界があり,nmapで実行できる複数種のポートスキャン機能では強制遮断ができなかったという結果が得られていた.
Posted by z at November 24, 2003 02:42 AM