documentation
MBUSTER
ポリシー設定ガイド
ポリシー適用基準
ダイナミック分析

ダイナミック分析

ダイナミック分析とは、アクセスユーザーのログをダイナミック行動分析ルールセットに基づいて分析する技術です。

海外アクセスユーザーのブロック (重要度 : 推奨 )

  • アクセスユーザーのIPを分析し、接続地域を確認します。
  • 海外アクセスユーザーのブロックは、MBUSTER自体のDBおよびKISA(韓国インターネット振興院)のWHOISサービスを利用して、海外IPを検出します。
  • 接続地域が韓国以外の国(海外)と判断された場合を検出するポリシーです。
  • 対象サイトで国内サービスを目指す場合、海外IPに対するブロック機能を提供します。
  • 対象サイトでグローバルサービスを目指す場合、海外IPは正常アクセスと見なされるため、当該ポリシーは未使用設定となります。
  • 検出例 : アクセスユーザーのIP [ 139.243.97.234 ] → アメリカのIPであるため、当該ポリシーで検出されます。

行動分析ポリシー (重要度 : ポリシーによって異なる)

各行動ごとに検出ポリシーが定義されており、閾値を超えるアクセス端末を識別する目的で使用されます。行動分析ポリシーごとにマクロのレベルが異なり、同一ポリシーでも閾値の数値によってマクロのレベルが異なります。 アクセスログ(学習データ)の分析を通じて、各ルールセットごとの最小閾値と最大閾値を算出可能であり、設定値によってマクロのレベルが調整されます。

1. ページ過多照会 (重要度 : 推奨 )

1秒を基準に、一人のアクセスユーザーから過度にURL要求が発生する場合 (重要度 : 推奨 )
  • 短時間内に過度なURL要求が発生する場合、マクロのような繰り返し作業を試みるものと解釈されます。
  • 短時間(秒単位)で過度なURL要求を検出し、マクロ動作を検出することを目的とします。
  • 検出例 : 閾値が3に設定された場合、1秒間に3回以上アクセスした場合に検出されます。
1分を基準に、一人のアクセスユーザーから過度にURL要求が発生する場合 (重要度 : 推奨 )
  • 1分間の過度なURL要求を検出することを目的とします。
  • 検出例 : 閾値が180に設定された場合、1分間に180回以上アクセスした場合に検出されます。
1日を基準に、一人のアクセスユーザーから過度にURL要求が発生する場合 (重要度 : 推奨 )
  • 長期間一人のアクセスユーザーが継続的に多くのURLを要求する場合、マクロや自動化された作業と疑います。
  • 検出例 : 閾値が3,000に設定された場合、1日に3,000回以上アクセスした場合に検出されます。
特定URLを過多に要求する場合 (重要度 : 推奨 )
  • 全体ページ対象の共通の分析ではなく、特定URLに対して別個の分析を目的とします。
  • 検出例 : A.htmlページで閾値が100に設定された場合、当該ページに100回以上アクセスした場合に検出されます。

2. ページ反復照会 (重要度 : 必須 )

URL呼び出し回数が分単位で同じパターンで繰り返される場合 (重要度 : 必須 )
  • マクロのように繰り返し作業を行うプログラムは、同じパターンでアクセスする様相を示します。
  • 検出例 : 閾値が5に設定された場合、1分間に10回呼び出すマクロが5分間に50回呼び出した場合に検出されます。アクセス量ではなく、繰り返し回数が閾値の基準

3. ページ異常アクセス (重要度 : 推奨 )

一つのIPから複数の個人識別IDを発行する場合 (重要度 : 推奨 )
  • 同一IPから複数の端末を使用する場合を検出する目的です。
  • マクロの場合、プログラムを利用して複数の端末を使用してアクセスします。
  • アクセスIPが公開IPの場合も該当ルールセットに含まれることができるため、ホワイトリスト設定が推奨されます。
  • 検出例 : 閾値が10に設定された場合、同一IPからアクセス端末の数が10台以上の場合に検出されます。
一つの個人識別IDを複数のIPからアクセスする場合 (重要度 : 必須 )
  • 端末の変化なくアクセスIPだけが変わる場合です。VPNを利用してアクセス者のIPを変更する場合に該当します。
  • 検出例 : 閾値が10に設定された場合、VPNを利用してアクセス者のIPを10回変更した場合に検出されます。
特定URLを繰り返し直接アクセスする場合 (重要度 : 推奨 )
  • 一般的なアクセスではなく、特定URLに直接入力してアクセスする場合を検出することを目的とします。
  • 検出例 : A.htmlページ対象で閾値が10に設定された場合、直接A.htmlリンクを入力して繰り返し10回以上アクセスした場合に検出されます。
特定動作が異常な速度で発生した場合 (重要度 : 必須 )
  • 特定の動作(開始地点から終了地点までの実行)に対して実行時間が閾値より速く発生した場合を検出することを目的とします。
  • 検出例 : 予約プロセスが特定動作として定義され、閾値が1に設定された場合、予約完了まで1秒以下で実行された場合に検出されます。

4. ページ迂回アクセス (重要度 : 推奨 )

特定URLに対して定められた時間以外にアクセスが発生した場合 (重要度 : 必須 )
  • イベント時間外にアクセスが発生すべきではないページにアクセスが発生した場合を検出する目的です。
  • 検出例 : A.htmlに対して9時から12時までのみ利用時間と設定した場合、9時前または12時以降にアクセスした場合に検出されます。
静的分析検出履歴とブロック解除