富士通が、「未知のウィルスの通信も検知し、情報流出防ぐ装置」というのを、開発した??らしい。ここのスラッシュドットニュースより。
で、その記事の中に
富士通研究所が開発したウイルス特有の通信パターンから感染したコンピューターを検知する技術を採用し
という文があるのだが、そこのコメントに、:「ワームの感染活動時に見られる特徴的な通信」って何?っていう質問があって、その回答として、以下の文があったので、メモ
富士通の研究というわけではないですが、この分野の学会発表を何度か聞いたことがあります。
ワームに特徴付けられる挙動の例としては、
特定のポート番号へのアクセス数の増大
→そのポートがdefaultとなっているアプリケーションの脆弱性をついたワームが広がっている
DNSのMXレコードがたくさんひかれる
→メールで感染するワームが広がっている
みたいなものがあるみたいですね
ほー、なるほど。でも、「そのポートがdefaultとなっているアプリケーション」を、急に使い出したということもあるんじゃあ。。とか、そーいうツッコミをいれてはいけないんだよね、きっと。
あ、ちなみに、上記の記事に関して
ワーム振る舞い検知 (スコア:5, 参考になる)
Anonymous Coward のコメント: 2006年01月25日 20時06分 (#871026)
ハードウェアによる検知技術だそうです。
TCPポートスキャン、UDPポートスキャン、ホストスキャンなどの種別を最短で10ミリ秒間隔でチェックして検出するんだとか。
ただ、
ブラウザ起動時に複数ページを読み込んだりした場合。
FTPとかtelnet使っててサービスの動作するホストを端末が探索するような場合。
ネットワーク管理装置から端末検索などを行なった場合。
IPマスカレードを行なっている機器からのアクセスの場合。
多数のリンクからなるWebにアクセスが頻発した場合。
なんかだと誤検出することがあるらしいです。
このへんはコマンドを打つことで閾値や検出対象から外すことで対応はできるそうですけど。
なんだかちょっと調べてみると思ったより低機能なきがしてがっかりです。
# がっかりしたのでAC
っていう、コメントも、載っていた。
うーん、そーすると、ポートスキャンとかやるプログラムを書いた場合も、だめってこと。。
って、そんなんやるんじゃねーよ(-_-)
って、(^^;)
アクセス
トータル
ランキング
