ラドウェアのIPSらしいですが、ふるまい検知型な機能をもったIPSらしい

日本ラドウェア株式会社（以下、ラドウェア）は7月27日、IPSの新プラットフォームおよび脅威の最新状況に関する説明会を開催した。登壇したイスラエルRadware、セキュリティ製品担当バイスプレジデントのアビ・チェスラ氏は、まず新脅威として「非脆弱性ベースの脅威」と「ゼロミニット攻撃」を紹介した。

　非脆弱性ベースの脅威とは、DDoS攻撃や総当り攻撃、ハイボリューム攻撃などの総称。脆弱性を突くような攻撃と違って、リクエスト自体は正当な内容なため、検知・防御するにはコツがいるという。

　特にDoS攻撃に関しては、7月に米国と韓国の主要政府機関、報道機関、銀行などが一斉に被害を受けた「Mydoom.EA」による事例が目新しい。Mydoom.EAに感染した2〜4万のボットから放たれたDDoS攻撃（分散DoS攻撃）は、一般的なIPSなど従来のセキュリティ対策をすり抜けて、多くのサーバーを高負荷の状況に陥れた。

　行われた攻撃は、多量のパケットを対象に送り込む「HTTP/SYN/UDP/ICMP flood」など。文字通りサーバーを「flood（洪水）」に巻き込むもので、7月の事例では、5〜6Gbpsものインバウンド攻撃が継続的に発生したという。

ラドウェア、「他社IPSとは一線を画す」DefenseProの振る舞い検知技術 - Enterprise Watch Watch

振る舞い検知なIPSらしい

通常のIPSとは一線を画すとして訴求するのが、「APSolute Immunity」と呼ばれる独自の「振る舞い検知技術」を搭載した「DefensePro」シリーズだ。
　APSolute Immunityでは、インバウンド・アウトバウンドのトラフィックを「インスペクションモジュール」で監視し、確立分析法により異常なユーザーアクティビティを特定する。例えば、「正常なユーザーは1つの接続でほんの数ページをダウンロードするが、異常なユーザーは1つの接続で多数のページをダウンロードする。あるいは、正常なユーザーはある程度決められたフローで画面遷移するが、異常なユーザーは突然脈略のないページにアクセスする。こうした条件で異常なアクセスを特定する」（同氏）というわけだ。
　異常が特定できたら、即座にリアルタイムシグネチャを自動生成して攻撃を防ぐのがAPSolute Immunity。リアルタイムシグネチャは、攻撃のパターンが変化した場合には調整され、攻撃が終わったら削除するため、常に新鮮な情報に最適化されるのも特徴だ。この仕組みにより、「しきい値と違って、DDoS攻撃中も正当なユーザーのアクセスを止めることなく、不正なものだけを遮断することができる」（同氏）という。

ラドウェア、「他社IPSとは一線を画す」DefenseProの振る舞い検知技術 - Enterprise Watch Watch

関連URL

• 脆弱性を狙わない攻撃への対処は？ − ＠IT