不正アクセスの判断基準

こんにちは。
ネットワークセキュリティを勉強している初心者です。

今、IDS(Snort)でログを取っているのですが
不正アクセスである、またはウィルスであるといった判断基準がわかりません。

IPアドレスの分散であったり、そのアドレスからの通信回数(言い方がおかしいかも知れませんが・・・・・)で何か判断する方法があれば教えていただけますでしょうか？

No.1 回答者： celtis 回答日時： 2008/01/30 11:13

攻撃と見なすか否かを判断するしきい値は、環境や運用によって変わりますので、こうしておけば大丈夫といった王道の設定は特にありませんね。

あなたの環境で具体的に守りたいリソースを定め、それらに対する攻撃を想定できれば、具体的なルールが浮かび上がってくると思います。ログの読み方については下記のサイトが参考になるでしょう。
http://www.hawkeye.ac/micky/network/read-log.html
http://www.snort.gr.jp/docs/SnortClass.html

また、ログ管理ツールを導入することで負担を減らせると思います。
http://d.hatena.ne.jp/satospo/20071005/1191558112

この回答へのお礼

ありがとうございます。

やはり、それぞれの環境によって違ってきますよね。
優先順位をつけるなどして、どのリソースを特に守りたいのか見定めていきたいと思います。

celtisさんに教えて頂いたサイトを参考に勉強したいと思います。
ありがとうございます。

お礼日時：2008/01/30 13:14