ActiveSensorの解析はどのように利用できるか

ActiveSensorの解析はどのように利用できるか

ASで解析を行うには、管理用インターフェースからコマンドラインを利用する方法とWebインターフェースを用いる方法を併用します。ではASを使ってどのような項目を元に解析できるのでしょうか。

まず送信パケット、受信パケットのそれぞれについて「IPアドレス」「ネットマスク」「ポート番号」「VLAN ID」「時間」を指定して検索し、該当する通信だけを選択して解析することができます。

VLAN IDを指定すると、特定のVLAN上のトラヒックを解析することができます。時間指定では、解析対象のトラヒックが流れた時間帯や大量のトラヒックが流れ た時間などを指定して解析することができます。時間はUTC（世界標準時）、JST（日本標準時）のいずれでも設定が可能です。

ASは解析した結果から「シグニチャハッシュ」を生成します。解析したトラヒックの中から、シェルコードを用いたTOAを検知した場合、 ASはソフトウェア「ASHULA」を用いて自動的に解析を行い、そのTOAに特異的なシグニチャを生成します。そして、このシグニチャとそのハッシュ値 （シグニチャハッシュ）をAS内のデータベースに記録します。

こうして生成されたシグニチャハッシュを用いて、同一のTOAかどうかを判定することができます。このシグニチャハッシュはセキュアウェア独自の技術で、他社製IDS/IPSで使われているシグニチャとは単純に比較することができません。

さらに解析したトラヒックがTCPの場合、ASはTCPストリーム全体を保存し、そのハッシュ値（ストリームハッシュ）をデータベースに記録します。そのため、そのストリームハッシュ値を検索することで、まったく同じ攻撃があったかどうかを検索することもできます。

なお、シグニチャハッシュはTOAの一部分（攻撃の最も本質的な部分）のハッシュ値であり、ストリームハッシュとは異なります。なお検索結果の表示画面からTOAの詳細解析を行うこともできます。

AciveSensorを支える技術

ASは「ASHULA」と「Platform7」という技術が要となっています。この2つの技術を簡単に解説しましょう。

まずASHULAは、遠隔地からシステムを乗っ取ろうとする攻撃（TOA）に対して強みを持っています。

従来のIDS/IPSセキュリティアプライアンスにおいては、かつて行われた攻撃パターン（既知の攻撃パターン）を「シグネチャ」として認 識し、それらを検知・防御しています。従来のIDS/IPSにおいては、対応するシグネチャを持たない「未知」の攻撃パターンを検知することはできず、ま してや防御することもできません。これに対してASHULAは、「未知」の攻撃パターンに対しても検知・防御することが可能です。

なおASHULAは、基礎研究から開発に至るまで我が国において一貫して行ってきました。大幅な輸入超過のインターネットセキュリティ技術の中で、アイデア段階から実用化にいたるまで日本で行い、さらに米国にライセンスできた稀な技術であるといえるでしょう。

セキュアウェア開発のもう1つの技術であるPlatform7は、ハードウェア（FPGA）を用いて、経路上でTCPストリームを再構築し、検査結果に応じてパケットを制御する技術です。

TCPストリーム検査のためのインターフェースには、FPGA用とホストCPU用の2つがあります。そのため、FPGAによるハードウェア検査に加え、CPUによるソフトウェア検査を行うことも可能です。

基本的に一方のポートから受信したフレームをそのまま他方へ送出するので、Platform7は「ネットワーク透過的」に動作します。すなわち、通信の両ノードだけでなく他のネットワーク機器への影響がありません。

検査部（FPGAおよびホストCPU）が何かを検知した場合、Platform7は受信フレームの設定に従い「受け取ったフレームをそのまま送出する」「破棄する」「TCPのRSTフラグをたてて送信」のいずれかの処理を行います。

最後にASの今後の開発について紹介しましょう。