トラヒックしきい値フィルタ:統計的アノマリー制御
統計的アノマリーフィルタは、マルチフロー情報を調査し異常なトラフィック状態を検出します。これらのフィルタによって、偵察活動および DDoS 攻撃 (サービス不能攻撃) 、あるいは異常なトラフィックパターンを生み出す未知のタイプの攻撃を検知できます。
TippingPoint トラヒックしきい値フィルタは、一定時間あるいは日数だけネットワークトラフィックを監視することで、"正常な" トラフィックレベルのベースラインを設定します。トラヒックしきい値フィルタは、トラフィックがしきい値を超えるか下回った時に特定の働きをするよう構成されています。柔軟性を最大限発揮させるために、しきい値は minor と major の 2 つを設定することができ、それぞれの設定値を「上回る」かあるいは「下回る」かの 4 種類の設定項目が用意されています。
例えば、正常レベルの ICMP トラフィックを 2Mbps とします。管理者は、2 つのしきい値を設定することができます。ちなみに、しきい値の 1 つを ICMP トラフィックが正常レベルの 200% に増加した時に管理者にEメールを送る設定にし、もう 1 つを正常レベルの 350% に増加した時にトラフィックをレートシェーピングする設定にします。下のグラフは、ICMP トラフィックが増加し始めた時の TippingPoint IPS の効果を示しています。
お客様の事例 : Nachi ワームが、ネットワーク上に膨大な ICMP トラフィックを生じさせ、あるお客様のコアルータに膨大な負荷を与えました。TippingPoint が同社の CSO (経営戦略責任者) に呼び出され、緊急会議が開催されました。ルータへの CPU 負荷が 95% を超え、ネットワークが 30 分ごとに停止しているため、顧客のネットワークに TippingPoint IPS のテスト導入するよう依頼されました。TippingPoint IPS を導入した直後から、ルータの CPU 利用率は 3% まで下落し、ネットワークの安定性が回復しました。
