• 締切済み

不正アクセスの判断基準

こんにちは。 ネットワークセキュリティを勉強している初心者です。 今、IDS(Snort)でログを取っているのですが 不正アクセスである、またはウィルスであるといった判断基準がわかりません。 IPアドレスの分散であったり、そのアドレスからの通信回数(言い方がおかしいかも知れませんが・・・・・)で何か判断する方法があれば教えていただけますでしょうか?

みんなの回答

  • celtis
  • ベストアンサー率70% (2270/3208)
回答No.1

攻撃と見なすか否かを判断するしきい値は、環境や運用によって変わりますので、こうしておけば大丈夫といった王道の設定は特にありませんね。 あなたの環境で具体的に守りたいリソースを定め、それらに対する攻撃を想定できれば、具体的なルールが浮かび上がってくると思います。ログの読み方については下記のサイトが参考になるでしょう。 http://www.hawkeye.ac/micky/network/read-log.html http://www.snort.gr.jp/docs/SnortClass.html また、ログ管理ツールを導入することで負担を減らせると思います。 http://d.hatena.ne.jp/satospo/20071005/1191558112

llnaoppell
質問者

お礼

ありがとうございます。 やはり、それぞれの環境によって違ってきますよね。 優先順位をつけるなどして、どのリソースを特に守りたいのか見定めていきたいと思います。 celtisさんに教えて頂いたサイトを参考に勉強したいと思います。 ありがとうございます。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • 不正アクセスされているようなのですが

    ソースネクストのウィルスセキュリティを使っています。ファイアーウォールのネットワーク通信履歴を見ると、30秒ごとに、1秒間に10回ずつ何かを受信してそれに対して拒否をしています。いつからかはわかりません。パソコンを起動するたびに新たな日付・時刻でそれが始まっています。 これは不正アクセスなのでしょうか。このままにしておいても大丈夫でしょうか。不正アクセスだとすると、これをなくす手段はないものでしょうか。教えてください。

  • 連続して不正アクセスされているのか不安です。

    連続して不正アクセスされているのか不安です。 ウイルスセキュリティの履歴(ログ)ビュアーのネットワーク通信を見たら下記のログが連続(数秒ごと)してあり、現在も続いています。これって誰かにハッキングとか不正アクセスされているのでしょうか? ユーザー SYSTEM 方向   受信 アクセス 拒否 説明   ルール規定 プロトコル UDP(17) 発信元IP 255.255.255.255 リモートIP 10.30.113.2 発信元ポート 8309 リモートポート 6517 【パソコンの環境】 OS XP LANケーブルで直接、つないでいる レオパレス在住でレオネットを利用 正直、ちょっと怖いので助けて下さいませ。

  • 不正アクセスでしょうか?(RIPpacketとは?)

    お世話になります。 バッファローのルータを使い、パソコンにウイルスバスター2005を入れてインターネットに接続しています。 ルータのアタックブロックのログに、RIP packet <WAN in>と表示されIPアドレスが『二つ』表示され、片一方からもう片一方へ不正アクセスが行われているという感じに表示されています。 確認くんというサイトで自分のIPアドレスを調べるとこの『二つ』のIPアドレスとは違っているのです。 ルータが不正アクセスをアタックブロック機能でブロックしたという事なのに、自分のアドレスでないというのはどういうことなのでしょうか? yahooBBのADSLでXPです。 ウイルスバスターのパーソナルファイアウォールログにはAB Rceiverというアプリケーションでルータからログがたくさん残っていますがこれはルータがパソコンに不正アクセスを検出したいことを通知しているのをウイルスバスターがブロックしているのかな?と思うのですが・・・ ご存知の方教えてくださいませんでしょうか? よろしくお願いいたします。

  • 不正アクセスとは?

    先日友人のPCで、セキュリティソフトに不正アクセスが引っ掛かりました。 IPアドレスはフランスだったそうです。 質問なのですが、 (1) このまま放っておいても安心ですか。PCをなんらかのチェックをした方がいいのでしょうか。ウィルスが原因だったりするのでしょうか。 (2) どういう理由で不正アクセスがあったのでしょうか。あやしいサイトにアクセスしたりすることが原因になるのでしょうか。単に運でしょうか。 ちなみに私は個人PCを5年ほど使っていますが、(シマンテックで)不正アクセスが引っ掛かったことはないです。 (3) IPアドレスはフランスだったそうなんですが、これは犯人がフランスなのでしょうか。単にフランス経由なだけでしょうか。 (4) その他、注意点があれば教えて下さい。 よろしくお願いします。

  • 不正と思われるアクセスがたくさんある時は?

    通信が非常に遅くなることがあったので分からないながらもWiresharkで通信の内容を覗いてみました。 SorcePortもDestinationPortもunknownポートであるような通信(例:ローカルポート:52401 リモートポート:11869、ローカルポート:1450-1480 リモートポート:12350)があり、IP検索で検索を行ってみてもIPが不正IPであるかが分からないながらもウィルスセキュリティZEROのファイアーウォールで少しづつ影響が出ないかを確認しつつ止めてみています。 前よりも通信速度は上がったと思いますが、激しくアクセスが行われることがありブロックされていても困惑しています。 ウィルスセキュリティZEROでPC全体のウィルスチェックは行いましたがウィルスは検出されませんでした。 ONUとPCの間にブロードバンドルータを置いていますが、機能的に低いのではないかと思ってます。 上記の状態を回避するにはどうすればいいのでしょうか? もっと性能の高いルータに変えれば変わるのでしょうか? 何度もアクセスしてくるIPアドレスについて相談できるところなどありますか? *家庭用のPCですが、家庭用の質問コーナーでは適切な回答がもらえなかったため詳しい方にお聞きしたいと思い「技術者向」コーナーに投稿します。 よろしくお願いします。

  • 不正アクセスなどの対策について

    少々最近気になっていることがあり、質問させて頂きました。 私のパソコンのIPアドレスを知っている他人が、私のパソコンにアクセスして、データ(ファイルの中身など)を見ることやIPアドレスを利用して私が書きこんだページを特定することなどはできるのでしょうか。 また、他人からのアクセスのログ(アクセスしてきたコンピュータ情報、アクセスしたファイルなども含めて)をとることはできるのでしょうか。もしできたら教えて頂けると幸いです。 コントロールパネルでセキュリティ情報を調べると、ネットワークファイアウォールはWindows ファイアウォール、ウイルス対策はビジネスセキュリティクライアントウイルス対策、スパイウェアと不要なソフトウェアの対策はWindows Defenderとビジネスセキュリティクライアント スパイウェア対策、インターネットセキュリティ設定は全て推奨される設定、となっております。 ネットワークアクセス保護は無効でネットワークアクセス保護エージェントサービスは実行されていませんと記載されています。

  • 不正アクセス?

    こんにちは! 常時接続でLinux のsquidを使用しているのですが、 squidのaccess.logにローカルアドレスでないIP アドレス(自分が使用していない)が残ります。 IPアドレスは毎回異なっていて、 "GET /SCRIPTS/root.exe?/c+dir HTTP/0.0 400 1180 NONE:NONE" みたいな感じでログが残ります。 外部のIPアドレスでsquidは利用出来ない設定にしているのですが、 これって不正アクセスされているのでしょうか?

  • 不正アクセスをされているか確認する方法

    自分の家のPCのWindows11Home搭載PCに不正アクセスをされているか確認する方法について質問です。 思いつくことでは、 セキュリティソフトやOSのファイアーウォールのログを有効にしてログを精査する。 wiresharkを使ってパケットを見る。 くらいなのですが、ファイアーウォールのログを見る方法の後、Wiresharkを使うまでの間に何かすることはありますか。 また、不正アクセスをされているか確認するには、どこのIPに通信されているかを見るのがメインにでしょうか。

  • これって不正アクセス?

    先日自分のブログにアクセス解析をつけたのですが、 ログを確認すると、私がブログを見るのと全く同じ時間に、自分のIPアドレスとは別にもう一つのIPからのアクセスがあるんです。 これって不正アクセスなんでしょうか・・・?(p>□<q;)) ちなみに英語圏からのアクセスのようなんです;; 怖いので対処したいんですが、どうすれば良いでしょうか?

  • 自分と似たIPアドレスからは不正アクセスを受けやすいのですか?

    今まで3社のセキュリティソフトを使用したことがありますが、そのファイヤーウォールのログをみていると自分のIPと近いIPからの不正アクセス(ポートスキャンというのですか?)が全体のほぼ9割くらいに達します。近いというのは、もし自分のIPアドレスが111.222.333.444だとすると111.222.***.***のようなIPからのものが多いということです。つまり自分と同じプロバイダー(でない場合もありますが)からは不正アクセスなりポートスキャンを受けやすいということなのでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する