- 締切済み
不正アクセスの判断基準
こんにちは。 ネットワークセキュリティを勉強している初心者です。 今、IDS(Snort)でログを取っているのですが 不正アクセスである、またはウィルスであるといった判断基準がわかりません。 IPアドレスの分散であったり、そのアドレスからの通信回数(言い方がおかしいかも知れませんが・・・・・)で何か判断する方法があれば教えていただけますでしょうか?
- llnaoppell
- お礼率12% (1/8)
- ネットワーク
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- celtis
- ベストアンサー率70% (2332/3291)
回答No.1
攻撃と見なすか否かを判断するしきい値は、環境や運用によって変わりますので、こうしておけば大丈夫といった王道の設定は特にありませんね。 あなたの環境で具体的に守りたいリソースを定め、それらに対する攻撃を想定できれば、具体的なルールが浮かび上がってくると思います。ログの読み方については下記のサイトが参考になるでしょう。 http://www.hawkeye.ac/micky/network/read-log.html http://www.snort.gr.jp/docs/SnortClass.html また、ログ管理ツールを導入することで負担を減らせると思います。 http://d.hatena.ne.jp/satospo/20071005/1191558112
お礼
ありがとうございます。 やはり、それぞれの環境によって違ってきますよね。 優先順位をつけるなどして、どのリソースを特に守りたいのか見定めていきたいと思います。 celtisさんに教えて頂いたサイトを参考に勉強したいと思います。 ありがとうございます。