Powered by Zoomin Software. For more details please contactZoomin

Flowmon ADS User Guide

Table of Contents

SCANS – ポートスキャニング

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: April 5, 2026
  • 5 minute read
    • Flowmon Products
    • Flowmon Anomaly Detection System
    • Documentation

メソッドの説明

この検知メソッドは、ポートスキャンメソッドによるネットワークマッピングおよび実行サービス検出の一般的な手法を検知するために使用されます。ポートスキャンは、攻撃者がネットワーク環境をマッピングし、後続の攻撃の潜在的な被害者を特定するために使用されます。このメソッドでは、スキャンされたデバイスとポートの数に応じて、可能であれば水平スキャン、垂直スキャン、およびカオス的スキャンとして攻撃を分類します。検知されたイベントには、固有のターゲットの数、スキャンされたデバイスからの応答に関する情報、およびスキャンされたポートのリストが含まれます。このメソッドでは、TCP、UDP、ARPプロトコルを介したスキャンを検知できます。TCPスキャンの場合、このメソッドは複数のタイプのスキャン(SYNスキャン、FINスキャン、Xmasスキャン、およびNullスキャン)を区別します。Flowデータ内にTCPフラグが表示される必要があります。Flowソースがこの情報を提供できない場合は、代替のポートベースの検知を有効にする必要があります。

このメソッドは、以下のサブメソッドで構成されます。

  • TCPSYN: TCPプロトコルを使用しているサービスのスキャニングをレポートします。SYNフラグが設定されているフローのみが検知に使用されます。

  • TCPFIN: TCPプロトコルを使用しているサービスのスキャニングをレポートします。FINフラグが設定されているフローのみが検知に使用されます。

  • TCPNull: TCPプロトコルを使用しているサービスのスキャニングをレポートします。何もフラグが設定されていないフローが検知に使用されます。

  • TCPXmas: TCPプロトコルを使用しているサービスのスキャニングをレポートします。PSH、URG、およびFINフラグが設定されているフローが検知に使用されます。

  • UDP: UDPプロトコルを使用しているサービスのスキャニングをレポートします。UDPおよびICMPフローは検出に使用されます。

  • ARP: ARPプロトコルを使用しているネットワーク内で動作状態にあるデバイスのスキャニングをレポートします。

  • PortBased: 短時間ですべてのユーザ定義ポートにアクセスして、TCPポートスキャニングをレポートします。

メソッドパラメータ

TCP

  • ScansThreshold: イベントをトリガーするために必要な、単一のソースからのポートスキャンの最小試行回数。

  • IgnoreChaotic: カオス的ポートスキャン(スキャンが垂直か水平かを判別できない)を省略します。PortBasedDetectionが有効な場合、IgnoreChaoticは使用されません。

  • IgnoreUnsucc: レスポンスのないポートスキャンの試行を省略します。

  • DetectOnlyKnown: 既知のポート(1024 未満)およびユーザ指定のポート (DetectThesePorts)によって定義されるポート検出制限。PortBasedDetectionが有効な場合、DetectOnlyKnownは使用されません。

  • DetectThesePorts: ポート番号と範囲のカンマ区切りのリスト。

  • PortBasedDetection: 指定されたポート番号に基づいて検知します。このタイプの検知は、監視対象のトラフィックで不適切に認識されているTCPフラグがある場合に適しています(一部のタイプのデータソースが原因で発生します)。その後、イベントは、攻撃者が特定のホスト上の定義された各ポートにアクセスした場合にのみレポートされます。

UDP

  • UDPThreshold: 1台のデバイスによるUDPポートのスキャン試行の最小失敗回数の閾値。この検知は、UDPおよびICMPトラフィックの監視に基づいて行われます。

ARP

  • ARPScan: ARPスキャンと見なされるARPリクエストの最小数の閾値。

  • MinTargets: ARPリクエストを使用してスキャンされたIPアドレスの最小数。

メソッド設定

PortBasedDetectionパラメータがアクティブでない場合は、すべてのIPアドレスにこのメソッドを適用することをお勧めします。それ以外の場合は、監視対象ネットワークのIPアドレスにのみ適用する必要があります。トラフィックの正しい監視場所は中央のスイッチとインターネット接続回線です。

フィルタの割り当て

このフィルタは、送信元IPアドレスまたは宛先IPアドレスを制限するために使用されます。宛先IPアドレスは、ポートベースの検知の場合にのみ制限されます。

結果の解釈

このメソッドは、意図的なポートスキャン試行のほか、設定が誤っているために接続を確立しようとして失敗するデバイスや、自分自身を他のデバイスにレプリケートしようとするマルウェアに感染しているデバイスも検出できます。

TitleResults for “How to create a CRG?”Also Available inAlert