Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

スーパーフロー

JSA は個々のフローを分析し、ネットワーク上で一般的な攻撃ベクトルが使用されていることを示す指標を探します。条件に一致するフローの数が指定された数に達すると、 JSA は個々のフローを スーパーフローにグループ化します。各スーパーフローは、バンドルされているフローレコードの数に関係なく、1分あたりのフロー(FPM)ライセンスに対して1つのフローとしてカウントされます。

フローしきい値を設定して、スーパーフローが作成される前に条件に一致する必要がある一意のフローの数を制御できます。しきい値が 100 の場合、最初の 99 個のフローは通常のフロー レコードとして送信されます。100 番目のフローと後続のマッチング フローがスーパーフロー レコードに含まれます。 JSA は、1つのフルインターバルが一致するトラフィックがないまで、1分間ごとにスーパーフローの報告を続けます。フローレコードが 1 つだけ一致しても、スーパーフローは有効な状態に保たれるため、一部のスーパーフローは小さく見える場合があります。

ヒント:

JSA でスーパーフローを作成したくない場合は、フロー プロセッサーの構成設定で、スーパー フローの作成 設定を に変更しますNo

Superflow Type A:ネットワーク スキャン

ネットワーク スキャンは、ネットワーク上のすべてのアクティブなホストを検出し、ホストを IP アドレスにマッピングしようとします。

JSA は、1 つのホストが多くのホストにデータを送信するフローを探し、このタイプのアクティビティに Type A スーパーフローとしてフラグを付けます。この一方向フローは、宛先IPが異なる同じソースIPを持つすべてのフローの集合ですが、以下のパラメータは同じです。

  • プロトコル

  • 送信元のバイト対パケット比

  • 送信元 IP アドレス

  • 宛先ポート(TCPおよびUDPフローのみ)

  • TCP フラグ(TCP フローのみ)

  • ICMP タイプとコード(ICMP フローのみ)

Superflow Type A: Network Scan

スーパーフロー タイプ B:DDoS(分散型サービス拒否)

DDoS 攻撃は、複数のシステムがターゲット システムの帯域幅またはリソースをフラッディングした場合に発生します。

JSA は、多くのホストが 1 つの宛先ホストにデータを送信するフローを探し、このアクティビティをタイプ B スーパーフローとしてフラグ付けします。この一方向フローは、単一の宛先 IP で異なるソース IP を持つすべてのフローの集約ですが、以下のパラメーターは同じです。

  • プロトコル

  • 送信元のバイト対パケット比

  • 宛先 IP アドレス

  • 宛先ポート(TCPおよびUDPフローのみ)

  • TCP フラグ(TCP フローのみ)

  • ICMP タイプとコード(ICMP フローのみ)

Superflow Type B: Distributed Denial of Service (DDoS)

スーパーフロー タイプ C:ポート スキャン

ポート スキャンは、ネットワーク上の特定のホストが使用しているポートの識別を試みます。

JSA は、1つのソースIPと1つの宛先IPを持つが、多くのポートを持つフローを探します。この単方向フローは、送信元または宛先ポートが異なるすべての非 ICMP フローの集約ですが、以下のパラメータは同じです。

  • プロトコル

  • 送信元 IP アドレス

  • 宛先 IP アドレス

  • 送信元のバイト対パケット比

  • TCP フラグ(TCP フローのみ)

Superflow Type C: Port Scan