ソースコードを元にソフトウェアの異常な動作を検知する侵入検知システム | スラド セキュリティ
そのソースコードを元に、ソフトウェアの異常な振る舞いを検知するシステムが開発されている。このシステムは「Korset」と呼ばれており、開発者はテルアビブ大学のAvishai Wool教授と院生のOhad Ben氏だ(Science Daily・本家/.)。 Korsetはホストベースの侵入検知システム(Host-based Intrusion Detection Systems、HIDS)の1種で、動作するアプリケーションを監視し、もしアプリケーションが攻撃され、バッファオーバフローなどによって想定外の動作を行おうとした際にそれをブロックする、というものだ。 一般的にこのようなシステムでは、あらかじめアプリケーションごとに許可する動作/許可しない動作を手動で指定したり、アプリケーションを動作させて許可する動作を学習させておく必要があった。いっぽうKorsetでは、アプリケーションのソースコ
ネガティブか、ポジティブか……それが問題だ ― @IT
この特徴を基にシグネチャを作ります。監視カメラを見る担当者は「サングラス」と「拳銃」を持っていたら銀行強盗と定義しました。このシグネチャを作ることでほかの銀行強盗が銀行に入ってきても速やかに対応することができました。 あるとき、銀行強盗は学びました。自分の特徴を変えたとしたら……? 「拳銃」を持っていることが発見されているのではないかと考えた銀行強盗は「拳銃」を「ライフル銃」に変えて、銀行を襲いました。銀行強盗を発見するためのシグネチャは「サングラス」かつ「拳銃」という条件になっているため銀行強盗の発見が遅れてしまいました。この事象がフォールスネガティブです。 本来発見しなければならない強盗がシグネチャにマッチングしなかったために見逃す結果となってしまいました。このフォールスネガティブの確率を下げるために、担当者は「サングラス」をかけていた場合に銀行強盗とする条件のシグネチャに変更しました
新機能も無償で公開する--“Snortの生みの親”
オープンソースのIDS(侵入検知システム)/IPS(侵入防止システム)として知られる「Snort」。このソフトウエアを開発したのが,米ソースファイアのマーティン・ロッシCTO(最高技術責任者)だ。Snortの将来像を聞いた。 最初のバージョンは1998年に作った。パケット・キャプチャ技術を学ぶためにソフトウエアを自作し,これをCATVモデムにつないでパケットの流れを調べていた。そうしたときにちょうど,オープンソースが世間をにぎわすようになり,「伽藍とバザール」のような論文も発表された。そこでこの流れに乗ってみようと考え,インターネット上でSnortを公開した。 そうしたら,少しずつ評判が広がり,たくさんダウンロードされるようになった。1999年に機能拡張を施し,当初のパケット・キャプチャからルールによって怪しいパケットを検知するIDS(侵入検知システム)そして,不正な通信を排除するIPS(
Home — OSSEC
OSSEC+ provides additional capabilities to the basic OSSEC version such as the Machine Learning System for those that simply register. The cost is still free but OSSEC+ does more! OSSEC+ provides additional capabilities to the basic OSSEC version such as the Machine Learning System for those that simply register. The cost is still free but OSSEC+ does more! OSSEC+ provides additional capabilities
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://grin.flagbind.jp/archives/2007/04/thresholdconf.html
Firekeeper - detect and block malicious sites
