SECUAD 5/22

secuad

第六章 IDS後半

  • 検知(NIDS)
    • Pattern match
    • Anormally detection
    • stateful signature
      • 通信のうち、必要な部分だけを対象としたパターンマッチ
    • backdoor検出
      • 通常は利用されないが、malwareでは利用されるportをチェックする
  • 検知(HIDS)
    • OSのログ
    • systemのログ
      • messagesとか
    • Basic Security Module
      • solarisとかが持つ機能
      • system callなどの詳細なログをチェックできる
    • Event Log
    • できないもの
      • 例えば、バッファオーバーフローによる不正ログインは検出できない。ログに出力されないため。
      • この用途にはTripwireの方がよいらしい。
  • IDSに対するDoS
    • Stick/Snot: snortが不正と判断するpacketを送信してDoSするらしい

第七章 Virus

  • Computer Virus対策基準なんてのがあるんだ。
  • warmによるDoS対策としてAレコードを削除することによるDNSサーバへのインパク
  • Virusの自己防衛
    • Polymorphing/mutation: 一部をランダムに暗号化する。複合部は変化しないので、そこをpattern matchさせる。
    • metamorphic: 自信の内容を別コードに書き換えて、patterm matchをさける。
  • 定義
    • 自己伝染
    • 潜伏
    • 発病
  • 複合感染型Virusの説明が二行で終わってるのはどうかなと思うのです。