PEERS – パートナー通信異常

メソッドの説明

この検知メソッドでは、一意の通信パートナーの数の増加が分かります。関連の統計が移動ウィンドウに表示されます。ウィンドウの長さ(時間単位)は、WindowLengthパラメータで設定できます。

転送パケット数がPacketsMinCountパラメータで定義された数を超えている接続のみ検知されます。検知は、監視対象デバイスから送信される要求のみに基づいて行われます。IgnoreSNGLパラメータを設定すると、応答のない要求の除外を有効にすることができます。ExcludeServersフィルタで定義されたIPアドレスは、検知から除外されます。一意の通信パートナーがPartnersMinCountパラメータで定義された数よりも少ないデバイスも除外されます。

検知中、スライディングウィンドウに対して通信パートナー統計の平均および標準偏差が計算されます。一意の通信パートナーの現在の数が平均と標準偏差の和よりも大きい場合、増加率が計算されます。増加率がThresholdパラメータの値を超えている場合は、イベントが報告されます。

このメソッドは、以下のサブメソッドで構成されます。

• PeersIncrease: 監視対象のネットワーク内でデバイスの通信パートナー数の著しい増加をレポートします。

メソッド設定

このメソッドは、監視対象ネットワークからのIPアドレスのみに適用することをお勧めします。

メソッドパラメータ

• WindowLength: 監視対象ネットワークからの1つのIPアドレスに対する通信ピアの統計を保存するタイムウィンドウ(移動タイムウィンドウの長さ)。

• Threshold: 移動ウィンドウの平均と比較した、通信ピア数の最小増加閾値。

• ExcludeServers: 統計が評価されないIPアドレスを指定するフィルタの名前。

• PartnersMinCount: 1つのデバイスに対する最小通信ピア数の閾値。

• PacketsMinCount: フローあたりの最小パケット数の閾値。

• IgnoreSNGL: 検知で応答のない要求の除外を有効にします。

フィルタの割り当て

送信元IPアドレスがフィルタの割り当てに一致するフローのみが処理されます。

結果の解釈

このメソッドは、特定のIPアドレスに対する通信パートナーの増加数に対するアラートを出します。これは通常、デバイスが正しく設定されていないこと、予期しないソフトウェアがデバイスに存在していること、あるいはDDoS攻撃などの悪意のあるアクティビティにデバイスが組み込まれている事実を示唆しています。