読み方 : スノート

Snort

概要

Snortとは、ネットワーク上を流れる通信データを監視し、不正アクセスや攻撃の兆候を検出するためのソフトウェア。最も広く普及しているネットワーク型侵入検知システム(NIDS)の一つで、オープンソースとして公開されている。不正なパケットを遮断する侵入防止システムIPS)としても使用できる。
Snortのイメージ画像

ネットワークを流れるパケットをリアルタイムに解析し、既知の攻撃パターンや不審な通信を検出する仕組みを持つ。管理者が定義したルールと通信内容を照合することで、バッファオーバーフロー攻撃ポートスキャン、不正なプロトコル利用などの兆候を識別する。検出されたイベントはログとして記録され、必要に応じて警告を発することができる。

Snortの動作モードは大きく三つに分かれる。「パケットスニファモード」はネットワーク上のパケットキャプチャして表示するだけの基本モードである。「パケットロガーモード」はキャプチャしたパケットストレージに記録する。「ネットワーク侵入検知・防御モード」(NIDS/IPSモード)では、定義されたルール(シグネチャ)と照合しながらリアルタイムにトラフィックを分析し、不審なパケットを検知した際にアラートの発報やパケットのブロックを行う。

Snortの検知手法はシグネチャベースが基本であり、既知の攻撃パターンを記述したルールファイルとの照合によって脅威を識別する。ルールはSnort公式が用意しているもののほか、コミュニティや商用ベンダーからも提供されている。ルールはSnort独自の形式で記述され、プロトコル、送受信IPアドレスポート番号ペイロードの特徴などを組み合わせて柔軟に定義できる。

Snortは1998年にマーティン・ロッシュ(Martin Roesch)氏によって開発され、当初はネットワークパケットのスニファおよびロガーとして公開された。その後、シグネチャベースの侵入検知機能が追加され、IDS侵入検知システム)として広く普及した。現在は米シスコシステムズ(Cisco Systems)社が開発を主導しており、オープンソース版と商用版が提供されている。

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。