[stalk:01329] Re: signatureIDS vs. AnomallyIDS (Re: SecurityFocus)

["shikap@xxxxxxxxxxxx" <shikap@xxxxxxxxxxxx>]

しかＰです。
＃忙しいと違うんか？＞俺

At 10:13 AM +0900 02.7.22, hamamoto wrote:
>  > > うーんと、統計タイプのIDSなので、これを真のギガビット対応というには、
>>  > まだ研究色の強い製品のような気がします。（癖があると言うか。。。）
>>  そうなんですか。　実際に使っていないので分からないですが。
>>  先日、同じようなＩＤＳをだす企業がでてきました。　なぜ、速いのだと聞いたら、
>>  Signatureを使わないからだと言っていました。
>
>Signatureはパターンマッチングだから、ボトルネックが出やすいですね。

そうなんですよね。パケット再構築して、パターンをマッチングして、なんてやって
いるんで、どうしてもCPUやメモリの影響をもろに受けてしまいます。

ところで、アノーマリーな通信を検出するタイプって、ある程度のチューニングがさ 
れてから
市場にでているんでしょうか？（使ったことないので、私は知りません。）
このタイプのIDSって何を持ってノーマルとするか、と言うところが一番の肝なので、
ここを作り込むのが大変な気がするのですが。
＃チューニングされないまま世に出ていたら、exploit撃ち込まれまくっているところ
＃では、それがノーマルな状態としてチューニングされてしまう場合もありえますよ 
ね。
＃＃snortにもアノーマリー検出のプリプロセッサがあるんですが、これもなかなか
＃＃使いこなしているという話を聞きません。
＃＃誰かいないかな？（と振ってみるテスト）

>あと、別の流れとしては、ハードウェアアクセラレータタイプのIDSも
>今後は延びてくるかもしれません。出た当初は1000万円以上でしょうが、
>Netscreenなどにチップかボードで載って、ボードの価格が200万以下に
>なる製品が出てくると、うれしいかな。

うれしい反面、どうやって新しいタイプの攻撃を検出するか、と言うところに
興味が行ってしまいました。
signatureタイプのエンジンをハードウェアコーディングしてある、と言うタイプだ
と、どれくらいのsignatureを搭載するかによってだいぶパフォーマンスに差がでそう
な気がします。アノーマリーの場合、チューニング（学習）結果をメモリに蓄える
のかな？DoS食らって再起動したらすべて学習したのを忘れました、じゃ話にならない
よなぁ。
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　 ★「え？あの商品がこの値段♪」見てる人は『得』してる！
　　　　　　　　 http://ap.infoseek.co.jp/is_shop2.html