| |
以下の表では、このドキュメントで使われる重要な略語の正式名称を示します。
|
設定 |
説明 |
|---|---|
|
IP |
インターネットプロトコルアドレス |
|
Src |
送信元(Source) |
|
Dst |
宛先(Destination) |
|
P2P |
ピアツーピア(Peer to Peer) |
|
ToS |
サービスタイプ(Type of Service) |
|
DoS |
サービス妨害(Denial of Service) |
|
TCP:(TCPヘッダー) U-A-P-R-S-F |
TCP:(TCPヘッダー) Urg(Urgent)–Ack(Acknowledgment)–Psh(Push)–Rst(Reset)–Syn(Synchronization)–Fin(Finish) |
以下の表は、問題の分類に使われるクラスの集合を、説明付きで一覧表示しています。
|
クラス名 |
説明 |
|---|---|
|
Bad Src – Dst |
フローの送信元IP か宛先IP のどちらかが疑いがある |
|
容疑フロー |
フローの送信元IP と宛先IP の他の幾つかの属性が疑いがある |
|
DoS |
サービスの拒絶攻撃(Denial of Service Attack) |
Scans and Probes |
フローがマルチキャストを使用して特定のポートあるいは特定のホストの単一ポートに送信された |
以下の表では、異なるしきい値の定義を示します。
|
Lower Limit |
配信された問題(ポートスキャン/ホストスキャン/フロー攻撃など)のヒューリスティック分析や検証を実行するために必要なフローの最小値 |
| 上限
|
デフォルト設定下の単一のイベントで生じたフローの最大値で、かつTCP Syn違反やTCP Fin違反などの基本問題に使用されるしきい値であるもの。 |
|
送信元パターン設定
|
|
|---|---|
| Minimum Horizontal Span | 異なる送信元ホストの最小数 - Host Scan (Reverse) |
| Minimum Vertical Span | 異なる送信元ポートの最小数 - Port Scan (Reverse) |
| Minimum Diagonal Span | 制約下の異なる送信元エンドポイント: (送信元ホスト = 送信元ポート = 送信元エンドポイント) - Diagonal Scan (Reverse) |
| Minimum Aspect Ratio | 1. 送信元ポートあたりの最小送信元ホスト - Host Scan (Reverse) 2. 送信元ホストあたりの最小送信元ポート - Port Scan (Reverse) |
| Minimum Occupancy | 単一イベント内の送信元エンドポイントの最小展開(Spread) - Host Scan (Reverse)、Port Scan (Reverse)、Grid Scan (Reverse) 占有率 = 送信元エンドポイント / (送信元ホスト * 送信元ポート) |
| Minimum Flux Rate | 送信元エンドポイントあたりの最小ヒット - Outflood |
| Minumum Divergence | 送信元ホストあたりの最小宛先ホスト - Outflood |
|
宛先パターン設定
|
|
|---|---|
| Minimum Horizontal Span | 異なる宛先ホストの最小数 - Host Scan |
| Minimum Vertical Span | 異なる宛先ポートの最小数 - Port Scan |
| Minimum Diagonal Span | 制約下の異なる宛先エンドポイント: (宛先ホスト = 宛先ポート = 宛先エンドポイント) - Diagonal Scan (Reverse) |
| Minimum Aspect Ratio | 1. 宛先ポートあたりの最小送信元ホスト - Host Scan 2. 宛先ホストあたりの最小送信元ポート - Port Scan |
| Minimum Occupancy | 単一イベント内の宛先エンドポイントの最小展開(Spread) - Host Scan、Port Scan、Grid Scan 占有率 = 宛先エンドポイント / (宛先ホスト * 宛先ポート) |
| Minimum Flux Rate | 宛先エンドポイントあたりの最小ヒット - Inflood |
| Minumum Convergence | 宛先ホストあたりの最小宛先ホスト - Inflood |
以下の表は、アドバンスト セキュリティ分析モジュールによって検出される異常のリストです。
|
異常 |
説明 |
|---|---|
|
Attack |
複数の送信ホストからの送信ホスト数より少ない宛先ホストへのフローがMinimum Convergence と Minimum Flux Rateを宛先ホストで超過している。 |
|
Inflood |
(1)単数/複数の送信元ホストからのフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
|
Outflood
|
1. (1)宛先ホスト数より少ない送信元ホストからのフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
Port Scan
|
1. (1)単数/複数の送信元ホストからのフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Host Scan
|
1. (1)単数/複数の送信元ホストからのフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Diagonal Scan |
(1)単数/複数の送信元ホストからのフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している |
Grid Scan |
(1)単数/複数の送信元ホストからのフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancyを超過している |
Port Scan(Reverse)
|
1. (1)単数の送信元ホストからのフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Host Scan(Reverse) |
1. (1)複数の送信元ホストからのフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Diagonal Scan(Reverse)
|
(1)複数の送信元ホストからのフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している |
Grid Scan(Reverse)
|
(1)複数の送信元ホストからのフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している |
以下の表は、検知された問題の集合とそれらの分類の一覧と、簡単な説明です。
|
問題の名称 |
説明 |
クラス |
|---|---|---|
| Excess Broadcast Flows | ブロードキャストトラフィックが、任意に与えられた送信元IP に関するしきい値を超えている | Bad Src-Dst |
| Excess Multicast Flows | マルチキャストトラフィックが、任意に与えられた送信元IP に関するしきい値を超えている | Bad Src-Dst |
| Excess Networkcast Flows | ネットワークIP に向うトラフィックが、任意の与えられた送信元IP に関するしきい値を超えている | Bad Src-Dst |
| Invalid Src-Dst Flows | Invalid Src or Dst IP irrespective of whatever be the enterprise perimeter, for example, Loopback IPs or IANA Local IPs in either Src or Dst IP | Bad Src-Dst |
| Invalid ToS Flows | 不正なToS 値を持ったフローです。 | Bad Src-Dst |
| Land Attack Flows | 同一のSRC IP およびDST IP を持つフロー ターゲット機器に、自身に対して継続的に応答させる原因となる | Bad Src-Dst |
| Malformed IP Packets | 最低20オクテット(バイト)以下のBytePerPacket を持つフロー。 不正なToS フロー | Bad Src-Dst |
| Non Unicast Source Flows | 送信元IP がマルチキャストか、ブロードキャストか、ネットワークIP のいずれかである、つまり、ユニキャストでないもの | Bad Src-Dst |
| TCP Syn Violations | TCPフローでTCPフラグ値が2/Synで、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
(1)複数の送信元ホストからのTCP Synフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux RateとMinimum Convergenceを超過している |
DoS / Flash Crowd | |
| TCP Syn Inflood | (1)単数/複数の送信元ホストからのTCP Synフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している | DoS / Flash Crowd |
| TCP Syn Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのTCP Synフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのTCP Synフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| TCP Syn Port Scan | 1. (1)単数/複数の送信元ホストからのTCP Synフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのTCP Synフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Syn Host Scan | 1. (1)単数/複数の送信元ホストからのTCP Synフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのTCP Synフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Syn Diagonal Scan | (1)単数/複数の送信元ホストからのTCP Synフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| TCP Syn Grid Scan | (1)単数/複数の送信元ホストからのTCP Synフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| TCP Syn Port Scan(Reverse) | 1. (1)単数の送信元ホストからのTCP Synフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのTCP Synフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Syn Host Scan(Reverse) | 1. (1)複数の送信元ホストからのTCP Synフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのTCP Synフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| (1)複数の送信元ホストからのTCP Synフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している |
Scans / Probes |
|
| (1)単数/複数の送信元ホストからのTCP Synフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している |
Scans / Probes |
|
| Excess Short TCP Syn_Ack Packets | 僅かなペイロードのTCPフロー(例:BytePerPacketが40〜44オクテット(bytes)でTCPフラグ値が18/SAで、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| Short TCP Syn_Ack Inflood | 1. (1)複数の送信元ホストからのShort TCP Syn_Ackフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short TCP Syn_Ack Outflood |
1. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Syn_Ackフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short TCP Syn_Ack Port Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している 2. (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Syn_Ack Host Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Syn_Ack Diagonal Scan | (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Syn_Ack Grid Scan | (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Short TCP Syn_Ack Port Scan(Reverse) | 1. (1)単数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Syn_Ack Host Scan(Reverse) | 1. (1)複数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Syn_Ack Diagonal Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Syn_Ack Grid Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Excess Empty TCP Packets | ペイロードの無いTCPフロー(例:BytePerPacketが40オクテット(bytes)でTCPフラグ値がIN(25-27、29-31)で、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| Empty TCP Attack | (1)複数の送信元ホストからのEmpty TCPフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Empty TCP Inflood | (1)単数/複数の送信元ホストからのEmpty TCPフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Empty TCP Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのフローである (2)ペイロードの無いEmpty TCPフローである(例:BytePerPacketが40オクテット(bytes)である) (3)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのEmpty TCPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Empty TCP Port Scan | 1. (1)単数/複数の送信元ホストからのEmpty TCPフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのEmpty TCPフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Empty TCP Host Scan | 1. (1)単数/複数の送信元ホストからのEmpty TCPフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのEmpty TCPフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Empty TCP Diagonal Scan | (1)単数/複数の送信元ホストからのEmpty TCPフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Empty TCP Grid Scan | (1)単数/複数の送信元ホストからのEmpty TCPフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Empty TCP Port Scan(Reverse) | 1. (1)単数の送信元ホストからのEmpty TCPフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのEmpty TCPフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Empty TCP Host Scan(Reverse) | 1. (1)複数の送信元ホストからのEmpty TCPフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのEmpty TCPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Empty TCP Diagonal Scan(Reverse) | (1)複数の送信元ホストからのEmpty TCPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Empty TCP Grid Scan(Reverse) | (1)複数の送信元ホストからのEmpty TCPフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Excess Short TCP Ack Packets | 僅かなペイロードのTCPフロー(例:BytePerPacketが40〜44オクテット(bytes)でTCPフラグ値が16/Aで、かつTCP Ackを示し、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| Short TCP Ack Inflood | 1. (1)複数の送信元ホストからのShort TCP Ackフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Ackフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short TCP Ack Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Ackフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short TCP Ack Port Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Ackフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Ackフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Ack Host Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Ackフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Ackフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Ack Diagonal Scan | (1)単数/複数の送信元ホストからのShort TCP Ackフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Ack Grid Scan | (1)単数/複数の送信元ホストからのShort TCP Ackフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Short TCP Ack Port Scan(Reverse) | 1. (1)単数の送信元ホストからのShort TCP Ackフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Ackフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Ack Host Scan(Reverse) | 1. (1)複数の送信元ホストからのShort TCP Ackフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのShort TCP Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Ack Diagonal Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| (1)複数の送信元ホストからのShort TCP Ackフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes | |
| Excess Short TCP Fin_Ack Packets | 僅かなペイロードのTCPフロー(例:BytePerPacketが40〜44オクテット(bytes)でTCPフラグ値が17/FAで、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| Short TCP Fin_Ack Inflood | 1. (1)複数の送信元ホストからのShort TCP Fin_Ackフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Fin_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short TCP Fin_Ack Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Fin_Ackフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Fin_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short TCP Fin_Ack Port Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Fin_Ackフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Fin_Ackフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Fin_Ack Host Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Fin_Ackフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Fin_Ackフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Fin_Ack Diagonal Scan | (1)単数/複数の送信元ホストからのShort TCP Fin_Ackフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Fin_Ack Grid Scan | (1)単数/複数の送信元ホストからのShort TCP Fin_Ackフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Short TCP Fin_Ack Port Scan(Reverse) | 1. (1)単数の送信元ホストからのShort TCP Fin_Ackフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Fin_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Fin_Ack Host Scan(Reverse) | 1. (1)複数の送信元ホストからのShort TCP Fin_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのShort TCP Fin_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Fin_Ack Diagonal Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Fin_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Fin_Ack Grid Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Fin_Ackフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Excess Short TCP Handshake Packets | 僅かなペイロードのTCPフロー(例:BytePerPacketが40〜44オクテット(bytes)でTCPフラグ値が(19/ASF, 22/ARS, 23/ARSF)で、かつオープン/クローズドなTCPセッションを示し、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| Short TCP Handshake Attack | (1)複数の送信元ホストからのShort TCP Handshakeフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Short TCP Handshake Inflood | (1)単数/複数の送信元ホストからのShort TCP Handshakeフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Short TCP Handshake Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Handshakeフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Handshakeフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short TCP Handshake Port Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Handshakeフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Handshakeフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Handshake Host Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Handshakeフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Handshakeフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Handshake Diagonal Scan | (1)単数/複数の送信元ホストからのShort TCP Handshakeフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Handshake Grid Scan | (1)単数/複数の送信元ホストからのShort TCP Handshakeフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Short TCP Handshake Port Scan(Reverse) | 1. (1)単数の送信元ホストからのShort TCP Handshakeフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Handshakeフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Handshake Host Scan(Reverse) | 1. (1)複数の送信元ホストからのShort TCP Handshakeフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのShort TCP Handshakeフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Handshake Diagonal Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Handshakeフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Handshake Grid Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Handshakeフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Excess Short TCP Psh_Ack_No-Syn_Fin Packets | 僅かなペイロードのTCPフロー(例:BytePerPacketが40〜44オクテット(bytes)で、TCPフラグ値がIN(24/PA, 28/APR)で、かつTCP Psh_Ackを示すがSyn/Finは含まず、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| Short TCP Psh_Ack Attack | (1)複数の送信元ホストからのShort TCP Psh_Ackフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Short TCP Psh_Ack Inflood | (1)単数/複数の送信元ホストからのShort TCP Psh_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Short TCP Psh_Ack Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Psh_Ackフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Psh_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short TCP Psh_Ack Port Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Psh_Ackフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Psh_Ackフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Psh_Ack Host Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Psh_Ackフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Psh_Ackフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Psh_Ack Diagonal Scan | (1)単数/複数の送信元ホストからのShort TCP Psh_Ackフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Psh_Ack Grid Scan | (1)単数/複数の送信元ホストからのShort TCP Psh_Ackフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Short TCP Psh_Ack Port Scan(Reverse) | 1. (1)単数の送信元ホストからのShort TCP Psh_Ackフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Psh_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Psh_Ack Host Scan(Reverse) | 1. (1)複数の送信元ホストからのShort TCP Psh_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのShort TCP Psh_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Psh_Ack Diagonal Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Psh_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Psh_Ack Grid Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Psh_Ackフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| 僅かなペイロードのTCPフロー(例:BytePerPacketが40〜44オクテット(bytes)で、TCPフラグ値がIN(8/P, 42/UPS, 43/UPSF, 44/UPR, 45/UPRF, 46/UPRS, 47/UPRSF)で、かつTCP Pshを示すがAckは含まず、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー | |
| Short TCP Psh Attack | (1)複数の送信元ホストからのShort TCP Pshフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Short TCP Psh Inflood | (1)単数/複数の送信元ホストからのShort TCP Pshフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Short TCP Psh Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Pshフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Pshフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short TCP Psh Port Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Pshフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Pshフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Psh Host Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Pshフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Pshフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Psh Diagonal Scan | (1)単数/複数の送信元ホストからのShort TCP Pshフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Psh Grid Scan | (1)単数/複数の送信元ホストからのShort TCP Pshフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Short TCP Psh Port Scan(Reverse) | 1. (1)単数の送信元ホストからのShort TCP Pshフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Pshフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Psh Host Scan(Reverse) | 1. (1)複数の送信元ホストからのShort TCP Pshフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのShort TCP Pshフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Psh Diagonal Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Pshフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Psh Grid Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Pshフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Excess Short TCP Rst_Ack Packets | 僅かなペイロードのTCPフロー(例:BytePerPacketが40〜44オクテット(bytes)でTCPフラグ値がIN(20/AR, 21/ARF)で、かつTCP Rst_Ackを示し、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| Short TCP Rst_Ack Inflood | 1. (1)複数の送信元ホストからのShort TCP Rst_Ackフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Rst_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short TCP Rst_Ack Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Rst_Ackフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Rst_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short TCP Rst_Ack Port Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Rst_Ackフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Rst_Ackフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Rst_Ack Host Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Rst_Ackフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Rst_Ackフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Rst_Ack Diagonal Scan | (1)単数/複数の送信元ホストからのShort TCP Rst_Ackフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Rst_Ack Grid Scan | (1)単数/複数の送信元ホストからのShort TCP Rst_Ackフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Short TCP Rst_Ack Port Scan(Reverse) | 1. (1)単数の送信元ホストからのShort TCP Rst_Ackフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Rst_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Rst_Ack Host Scan(Reverse) | 1. (1)複数の送信元ホストからのShort TCP Rst_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのShort TCP Rst_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Rst_Ack Diagonal Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Rst_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Rst_Ack Grid Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Rst_Ackフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Excess Short TCP Syn_Ack Packets | 僅かなペイロードのTCPフロー(例:BytePerPacketが40〜44オクテット(bytes)でTCPフラグ値が18/SAで、上限値以上であり、以下の問題をひとつも満たさない | DoS / Flash Crowd |
| Short TCP Syn_Ack Inflood | 1. (1)複数の送信元ホストからのShort TCP Syn_Ackフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short TCP Syn_Ack Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Syn_Ackフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short TCP Syn_Ack Port Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Syn_Ack Host Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Syn_Ack Diagonal Scan | (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Syn_Ack Grid Scan | (1)単数/複数の送信元ホストからのShort TCP Syn_Ackフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Short TCP Syn_Ack Port Scan(Reverse) | 1. (1)単数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Syn_Ack Host Scan(Reverse) | 1. (1)複数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Syn_Ack Diagonal Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Syn_Ack Grid Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Syn_Ackフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Excess Short TCP Syn_Rst Packets | 僅かなペイロードのTCPフロー(例:BytePerPacketが40〜44オクテット(bytes)でTCPフラグ値が6/RSで、かつTCP Syn_Rstフローを示すがUrg/Ack/Pshフラグは含まず、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| Short TCP Syn_Rst Attack | (1)複数の送信元ホストからのShort TCP Syn_Rstフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Short TCP Syn_Rst Inflood | (1)単数/複数の送信元ホストからのShort TCP Syn_Rstフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Short TCP Syn_Rst Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Syn_Rstフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Syn_Rstフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short TCP Syn_Rst Port Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Syn_Rstフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Syn_Rstフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Syn_Rst Host Scan | 1. (1)単数/複数の送信元ホストからのShort TCP Syn_Rstフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのShort TCP Syn_Rstフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Syn_Rst Diagonal Scan | (1)単数/複数の送信元ホストからのShort TCP Syn_Rstフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Syn_Rst Grid Scan | (1)単数/複数の送信元ホストからのShort TCP Syn_Rstフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Short TCP Syn_Rst Port Scan(Reverse) | 1. (1)単数の送信元ホストからのShort TCP Syn_Rstフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのShort TCP Syn_Rstフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Syn_Rst Host Scan(Reverse) | 1. (1)複数の送信元ホストからのShort TCP Syn_Rstフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのShort TCP Syn_Rstフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short TCP Syn_Rst Diagonal Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Syn_Rstフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short TCP Syn_Rst Grid Scan(Reverse) | (1)複数の送信元ホストからのShort TCP Syn_Rstフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| TCP Fin Violations | TCPフローでTCPフラグ値がIN(1/F, 5/RF)で、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| TCP Fin Attack | (1)複数の送信元ホストからのTCP Finフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| TCP Fin Inflood | (1)単数/複数の送信元ホストからのTCP Finフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している | DoS / Flash Crowd |
| TCP Fin Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのTCP Finフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのTCP Finフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| TCP Fin Port Scan | 1. (1)単数/複数の送信元ホストからのTCP Finフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのTCP Finフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Fin Host Scan | 1. (1)単数/複数の送信元ホストからのTCP Finフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのTCP Finフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Fin Diagonal Scan | (1)単数/複数の送信元ホストからのTCP Finフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| TCP Fin Grid Scan | (1)単数/複数の送信元ホストからのTCP Finフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| TCP Fin Port Scan(Reverse) | 1. (1)単数の送信元ホストからのTCP Finフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのTCP Finフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Fin Host Scan(Reverse) | 1. (1)複数の送信元ホストからのTCP Finフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのTCP Finフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Fin Diagonal Scan(Reverse) | (1)複数の送信元ホストからのTCP Finフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| TCP Fin Grid Scan(Reverse) | (1)複数の送信元ホストからのTCP Finフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| TCP Null Violations | TCPフローでTCPフラグ値が0/Nullで、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| TCP Null Attack | (1)複数の送信元ホストからのTCP Nullフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| TCP Null Inflood | (1)単数/複数の送信元ホストからのTCP Nullフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している | DoS / Flash Crowd |
| TCP Null Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのTCP Nullフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのTCP Nullフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| TCP Null Port Scan | 1. (1)単数/複数の送信元ホストからのTCP Nullフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのTCP Nullフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Null Host Scan | 1. (1)単数/複数の送信元ホストからのTCP Nullフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのTCP Nullフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Null Diagonal Scan | (1)単数/複数の送信元ホストからのTCP Nullフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| TCP Null Diagonal Scan | (1)単数/複数の送信元ホストからのTCP Nullフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| TCP Null Port Scan(Reverse) | 1. (1)単数の送信元ホストからのTCP Nullフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのTCP Nullフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Null Host Scan(Reverse) | 1. (1)複数の送信元ホストからのTCP Nullフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのTCP Nullフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Null Diagonal Scan(Reverse) | (1)複数の送信元ホストからのTCP Nullフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| TCP Null Grid Scan(Reverse) | (1)複数の送信元ホストからのTCP Nullフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| TCP Rst Violations | TCPフローでTCPフラグ値が4/Rで、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| TCP Rst Attack | (1)複数の送信元ホストからのTCP Rstフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| TCP Rst Inflood | (1)単数/複数の送信元ホストからのTCP Rstフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している | DoS / Flash Crowd |
| TCP Rst Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのTCP Rstフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのTCP Rstフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| TCP Rst Port Scan | 1. (1)単数/複数の送信元ホストからのTCP Rstフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのTCP Rstフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Rst Host Scan | 1. (1)単数/複数の送信元ホストからのTCP Rstフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのTCP Rstフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Rst Diagonal Scan | (1)単数/複数の送信元ホストからのTCP Rstフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| TCP Rst Grid Scan | (1)単数/複数の送信元ホストからのTCP Rstフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| TCP Rst Port Scan(Reverse) | 1. (1)単数の送信元ホストからのTCP Rstフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのTCP Rstフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Rst Host Scan(Reverse) | 1. (1)複数の送信元ホストからのTCP Rstフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのTCP Rstフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Rst Diagonal Scan(Reverse) | (1)複数の送信元ホストからのTCP Rstフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| TCP Rst Grid Scan(Reverse) | (1)複数の送信元ホストからのTCP Rstフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| TCP Syn_Fin Violations | TCPフローでTCPフラグ値がIN(3/RF, 7/RSF)で、かつTCP Syn_FinまたはSyn_Rst_Finフローを示すがUrg/Ack/Pshフラグは含まず、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| TCP Syn_Fin Attack | (1)複数の送信元ホストからのTCP Syn_Finフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| TCP Syn_Fin Inflood | (1)単数/複数の送信元ホストからのTCP Syn_Finフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している | DoS / Flash Crowd |
| TCP Syn_Fin Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのTCP Syn_Finフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのTCP Syn_Finフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| TCP Syn_Fin Port Scan | (1)単数/複数の送信元ホストからのTCP Syn_Finフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのTCP Syn_Finフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Syn_Fin Host Scan | 1. (1)単数/複数の送信元ホストからのTCP Syn_Finフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのTCP Syn_Finフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Syn_Fin Diagonal Scan | (1)単数/複数の送信元ホストからのTCP Syn_Finフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| TCP Syn_Fin Grid Scan | (1)単数/複数の送信元ホストからのTCP Syn_Finフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| TCP Syn_Fin Port Scan(Reverse) | 1. (1)単数の送信元ホストからのTCP Syn_Finフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのTCP Syn_Finフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Syn_Fin Host Scan(Reverse) | 1. (1)複数の送信元ホストからのTCP Syn_Finフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのTCP Syn_Finフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Syn_Fin Diagonal Scan(Reverse) | (1)複数の送信元ホストからのTCP Syn_Finフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| TCP Syn_Fin Grid Scan(Reverse) | (1)複数の送信元ホストからのTCP Syn_Finフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| TCP Urg Violations | TCPフローでTCPフラグ値がIN(32-40, 42-63)で、かつXMASコンビネーションを除く全てのUrgフラグのコンビネーションを示し、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| TCP Urg Attack | (1)複数の送信元ホストからのTCP Urgフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| TCP Urg Inflood | (1)単数/複数の送信元ホストからのTCP Urgフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している | DoS / Flash Crowd |
| TCP Urg Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのTCP Urgフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのTCP Urgフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| TCP Urg Port Scan | 1. (1)単数/複数の送信元ホストからのTCP Urgフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのTCP Urgフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Urg Host Scan | 1. (1)単数/複数の送信元ホストからのTCP Urgフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのTCP Urgフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Urg Diagonal Scan | (1)単数/複数の送信元ホストからのTCP Urgフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| TCP Urg Grid Scan | (1)単数/複数の送信元ホストからのTCP Urgフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| TCP Urg Port Scan(Reverse) | 1. (1)単数の送信元ホストからのTCP Urgフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのTCP Urgフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Urg Host Scan(Reverse) | 1. (1)複数の送信元ホストからのTCP Urgフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのTCP Urgフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Urg Diagonal Scan(Reverse) | (1)複数の送信元ホストからのTCP Urgフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| TCP Urg Grid Scan(Reverse) | (1)複数の送信元ホストからのTCP Urgフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| TCP Xmas Violations | TCPフローでTCPフラグ値が41/UPFで、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| TCP Xmas Inflood | 1. (1)複数の送信元ホストからのTCP Xmasフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのTCP Xmasフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| TCP Xmas Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのTCP Xmasフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのTCP Xmasフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| TCP Xmas Port Scan | 1. (1)単数/複数の送信元ホストからのTCP Synフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのTCP Xmasフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Xmas Host Scan | 1. (1)単数/複数の送信元ホストからのTCP Xmasフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している 2. (1)単数/複数の送信元ホストからのTCP Xmasフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Xmas Diagonal Scan | (1)単数/複数の送信元ホストからのTCP Xmasフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| TCP Xmas Grid Scan | (1)単数/複数の送信元ホストからのTCP Xmasフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| TCP Xmas Port Scan(Reverse) | 1. (1)単数の送信元ホストからのTCP Xmasフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのTCP Xmasフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Xmas Host Scan(Reverse) | 1. (1)複数の送信元ホストからのTCP Xmasフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している 2. (1)複数の送信元ホストからのTCP Xmasフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| TCP Xmas Diagonal Scan(Reverse) | (1)複数の送信元ホストからのTCP Xmasフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| TCP Xmas Grid Scan(Reverse) | (1)複数の送信元ホストからのTCP Xmasフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Malformed TCP Packets | TCPフローでBytePerPacketが最小の40を下回り、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| Malformed TCP Attack | (1)複数の送信元ホストからのMalformed TCPフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Malformed TCP Inflood | (1)単数/複数の送信元ホストからのMalformed TCPフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Malformed TCP Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのMalformed TCPフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのMalformed TCPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Malformed TCP Port Scan | 1. (1)単数/複数の送信元ホストからのMalformed TCPフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのMalformed TCPフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Malformed TCP Host Scan | 1. (1)単数/複数の送信元ホストからのMalformed TCPフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのMalformed TCPフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Malformed TCP Diagonal Scan | (1)単数/複数の送信元ホストからのMalformed TCPフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Malformed TCP Grid Scan | (1)単数/複数の送信元ホストからのMalformed TCPフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Malformed TCP Port Scan(Reverse) | 1. (1)単数の送信元ホストからのMalformed TCPフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのMalformed TCPフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Malformed TCP Host Scan(Reverse) | 1. (1)複数の送信元ホストからのMalformed TCPフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのMalformed TCPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Malformed TCP Diagonal Scan(Reverse) | (1)複数の送信元ホストからのMalformed TCPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Malformed TCP Grid Scan(Reverse) | (1)複数の送信元ホストからのMalformed TCPフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| ICMP Request Broadcasts | ICMP RequestsフローでDst Portの値がIN(2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request)でブロードキャスト/マルチキャストIPに送信され、上限値以上であり、以下の問題をひとつも満たさない 送信元IPにおける増幅攻撃である可能性を意味します。 | DoS / Flash Crowd |
| ICMP Request Broadcast Attack | (1)複数の送信元ホストからのICMP Request Broadcastフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| ICMP Request Broadcast Inflood | (1)単数/複数の送信元ホストからのICMP Request Broadcastフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している | DoS / Flash Crowd |
| ICMP Request Broadcast Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのICMP Request Broadcastフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Request Broadcastフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Request Broadcast Host Scan | 1. (1)単数/複数の送信元ホストからのICMP Request Broadcastフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのICMP Request Broadcastフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Request Broadcast Host Scan(Reverse) | 1. (1)複数の送信元ホストからのICMP Request Broadcastフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのICMP Request Broadcastフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Excess ICMP Requests | ICMP RequestsフローでDst Portの値がIN(2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request)で、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| ICMP Request Inflood | 1. (1)複数の送信元ホストからのICMP Requestsフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Requestsフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Request Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのICMP Requestsである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Requestsである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Request Host Scan | 1. (1)単数/複数の送信元ホストからのICMP Requestsである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのICMP Requestsである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Request Host Scan(Reverse) | 1. (1)複数の送信元ホストからのICMP Requestsである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのICMP Requestsである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Excess ICMP Responses | ICMP ResponseフローでDst Portの値がIN(0/Echo Reply, 3584/Timestamp Reply, 4096/Information Reply, 4608/Address Mask Reply)で、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| ICMP Response Inflood | 1. (1)複数の送信元ホストからのICMP Responsesである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Responsesである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Response Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのICMP Responsesである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Responsesである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Response Host Scan | 1. (1)単数/複数の送信元ホストからのICMP Responsesである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのICMP Responsesである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Response Host Scan(Reverse) | 1. (1)複数の送信元ホストからのICMP Responsesである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのICMP Responsesである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Host Unreachables | ICMP Host Unreachableフローで、Dstポートの値がIN(769/Host Unreachable, 773/Source Route Failed, 775/Host Unknown, 776/Source Host Isolated (obsolete), 778/Host Administratively Prohibited, 780/Host Unreachable for TOS, 781/Communication administratively prohibited by filtering)で、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
|
|
1. (1)複数の送信元ホストからのICMP Host Unreachableフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Host Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Host Unreachable Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのICMP Host Unreachableフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Host Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Host Unreachable Host Scan | 1. (1)単数/複数の送信元ホストからのICMP Host Unreachableフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのICMP Host Unreachableフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Host Unreachable Host Scan(Reverse) | 1. (1)複数の送信元ホストからのICMP Host Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのICMP Host Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Network Unreachables | ICMP Network UnreachableフローでDst Portの値がIN(768/Network Unreachable, 774/Network Unknown, 777/Network Administratively Prohibited, 779/Network Unreachable for TOS)で、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| ICMP Network Unreachable Inflood | 1. (1)複数の送信元ホストからのICMP Network Unreachableフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Network Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している
|
DoS / Flash Crowd |
| ICMP Network Unreachable Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのICMP Network Unreachableフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Network Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Network Unreachable Host Scan | 1. (1)単数/複数の送信元ホストからのICMP Network Unreachableフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのICMP Network Unreachableフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Network Unreachable Host Scan(Reverse) | 1. (1)複数の送信元ホストからのICMP Network Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのICMP Network Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Bad Src-Dst | ||
| ICMP Parameter Problem Flows | ICMP Parameter ProblemフローでDst Portの値がIN(3072/IP Header Bad, 3073/Required Option Missing, 3074/Bad Length)で、上限値以上であり、以下の問題をひとつも満たさない 一般的にはローカルあるいはリモートにおける何らかの実装エラー(例:不正データグラム)を表す。 | 容疑フロー |
| ICMP Parameter Problem Inflood | 1. (1)複数の送信元ホストからのICMP Parameter Problemフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Parameter Problemフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Parameter Problem Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのICMP Parameter Problemフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Parameter Problemフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している
|
DoS / Flash Crowd |
| ICMP Parameter Problem Host Scan | 1. (1)単数/複数の送信元ホストからのICMP Parameter Problemフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのICMP Parameter Problemフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Parameter Problem Host Scan(Reverse) | 1. (1)複数の送信元ホストからのICMP Parameter Problemフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのICMP Parameter Problemフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Port Unreachables | ICMP Port UnreachableフローでDst Portの値が(771/Port Unreachable)で、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| ICMP Port Unreachable Inflood | 1. (1)複数の送信元ホストからのICMP Port Unreachableフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Port Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
|
1. (1)宛先ホスト数より少ない送信元ホストからのICMP Port Unreachableフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Port Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している
|
DoS / Flash Crowd |
| ICMP Port Unreachable Host Scan | 1. (1)単数/複数の送信元ホストからのICMP Port Unreachableフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのICMP Port Unreachableフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Port Unreachable Host Scan(Reverse) | 1. (1)複数の送信元ホストからのICMP Port Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのICMP Port Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Protocol Unreachables | ICMP Protocol UnreachableフローでDst Portの値が(770/Protocol Unreachable)で、上限値以上であり、以下の問題をひとつも満たさない アクティブなTCP セッションにDoS(サービス拒否)を実行し、TCP 接続を落とすために使われる可能性があります。 | DoS / Flash Crowd |
| ICMP Protocol Unreachable Inflood | 1. (1)複数の送信元ホストからのICMP Protocol Unreachableフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Protocol Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Protocol Unreachable Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのICMP Protocol Unreachableフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Protocol Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している
|
DoS / Flash Crowd |
| ICMP Protocol Unreachable Host Scan | 1. (1)単数/複数の送信元ホストからのICMP Protocol Unreachableフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのICMP Protocol Unreachableフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Protocol Unreachable Host Scan(Reverse) | 1. (1)複数の送信元ホストからのICMP Protocol Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのICMP Protocol Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Redirects | ICMP RedirectフローでDst Portの値がIN(1280/Redirect for Network, 1281/Redirect for Host, 1282/Redirect for ToS and Network, 1283/Redirect for ToS and Host)で、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| ICMP Redirect Inflood | 1. (1)複数の送信元ホストからのICMP Redirectフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Redirectフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Redirect Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのICMP Redirectフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Redirectフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Redirect Host Scan | 1. (1)単数/複数の送信元ホストからのICMP Redirectフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのICMP Redirectフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Redirect Host Scan(Reverse) | 1. (1)複数の送信元ホストからのICMP Redirectフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのICMP Redirectフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Source Quench Flows | ICMP Source QuenchフローでDst Portの値が(1024/Source Quench)で、上限値以上であり、以下の問題をひとつも満たさない 現在は使われていません。 しかし、ルーターあるいはホストの帯域を制限することによりサービス拒否を試みるために使うことは可能です。 | DoS / Flash Crowd |
| ICMP Source Quench Inflood | 1. (1)複数の送信元ホストからのICMP Source Quenchフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Source Quenchフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Source Quench Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのICMP Source Quenchフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Source Quenchフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Source Quench Host Scan | 1. (1)単数/複数の送信元ホストからのICMP Source Quenchフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのICMP Source Quenchフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Source Quench Host Scan(Reverse) | 1. (1)複数の送信元ホストからのICMP Source Quenchフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのICMP Source Quenchフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Time Exceeded Flows | ICMP Time ExceededフローでDst Portの値がIN(2816/Time-to-live equals 0 During Transit, 2817/Time-to-live equals 0 During Reassembly)で、上限値以上であり、以下の問題をひとつも満たさない Tracerouteの試み、あるいはデータグラムフラグメント再構成の失敗を意味します。 | 容疑フロー |
| ICMP Time Exceeded Inflood | 1. (1)複数の送信元ホストからのICMP Time Exceededフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Time Exceededフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Time Exceeded Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのICMP Time Exceededフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Time Exceededフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Time Exceeded Host Scan | 1. (1)単数/複数の送信元ホストからのICMP Time Exceededフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのICMP Time Exceededフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Time Exceeded Host Scan(Reverse) | 1. (1)複数の送信元ホストからのICMP Time Exceededフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのICMP Time Exceededフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Trace Route Flows | ICMP TracerouteフローでDst Portの値が(7680/Trace Route)で、上限値以上であり、以下の問題をひとつも満たさない traceroute実行を意味します。 | 容疑フロー |
| ICMP Trace Route Inflood | 1. (1)複数の送信元ホストからのICMP Tracerouteフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Tracerouteフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Trace Route Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのICMP Tracerouteフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Tracerouteフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| ICMP Trace Route Host Scan | 1. (1)単数/複数の送信元ホストからのICMP Tracerouteフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのICMP Tracerouteフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Trace Route Host Scan(Reverse) | 1. (1)複数の送信元ホストからのICMP Tracerouteフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのICMP Tracerouteフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Unreachables for ToS | ICMP ToS UnreachableフローでDst Portの値がIN(779/Network Unreachable for TOS, 780/Host Unreachable for TOS)で、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| ICMP ToS Unreachable Inflood | 1. (1)複数の送信元ホストからのICMP ToS Unreachableフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP ToS Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
|
|
1. (1)宛先ホスト数より少ない送信元ホストからのICMP ToS Unreachableフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP ToS Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している
|
DoS / Flash Crowd |
| ICMP ToS Unreachable Host Scan | 1. (1)単数/複数の送信元ホストからのICMP ToS Unreachableフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのICMP ToS Unreachableフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP ToS Unreachable Host Scan(Reverse) | 1. (1)複数の送信元ホストからのICMP ToS Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのICMP ToS Unreachableフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Malformed ICMP Packets | ICMPフローでBytePerPacketが最小の28オクテット(bytes)を下回り、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| Malformed ICMP Inflood | 1. (1)複数の送信元ホストからのMalformed ICMPフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのMalformed ICMPフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Malformed ICMP Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのMalformed ICMPフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのMalformed ICMPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Malformed ICMP Host Scan | 1. (1)単数/複数の送信元ホストからのMalformed ICMPフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのMalformed ICMPフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Malformed ICMP Host Scan(Reverse) | 1. (1)複数の送信元ホストからのMalformed ICMPフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのMalformed ICMPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Datagram Conversion Error Flows | ICMP Datagram Conversion ErrorフローでDst Portの値が(7936/Datagram Conversion Error ie., for valid datagrams)で、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
1. (1)複数の送信元ホストからのICMP Datagram Conversion Errorフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Datagram Conversion Errorフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd | |
1. (1)宛先ホスト数より少ない送信元ホストからのICMP Datagram Conversion Errorフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのICMP Datagram Conversion Errorフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd | |
| ICMP Datagram Conversion Error Host Scan | 1. (1)単数/複数の送信元ホストからのICMP Datagram Conversion Errorフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのICMP Datagram Conversion Errorフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| ICMP Datagram Conversion Error Host Scan(Reverse) | 1. (1)複数の送信元ホストからのICMP Datagram Conversion Errorフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのICMP Datagram Conversion Errorフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Excess UDP Echo Responses | 送信元ポート7(Echo)からのUDP Echo Responseで、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| UDP Echo Response Inflood | 1. (1)複数の送信元ホストからのUDP Echo Responsesである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのUDP Echo Responsesである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Echo Response Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのUDP Echo Responsesである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのUDP Echo Responsesである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Echo Response Port Scan | 1. (1)単数/複数の送信元ホストからのUDP Echo Responsesである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのUDP Echo Responsesである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| UDP Echo Response Host Scan | 1. (1)単数/複数の送信元ホストからのUDP Echo Responsesである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのUDP Echo Responsesである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| UDP Echo Response Diagonal Scan | (1)単数/複数の送信元ホストからのUDP Echo Responsesである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| UDP Echo Response Grid Scan | (1)単数/複数の送信元ホストからのUDP Echo Responsesである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| UDP Echo Response Host Scan(Reverse) | 1. (1)複数の送信元ホストからのUDP Echo Responsesである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのUDP Echo Responsesである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Excess UDP Echo Requests | 宛先ポート7(Echo)へのUDP Echo Requestで、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| UDP Echo Request Inflood | 1. (1)複数の送信元ホストからのUDP Echo Requestsである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのUDP Echo Requestsである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Echo Request Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのUDP Echo Requestsである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのUDP Echo Requestsである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Echo Request Host Scan | 1. (1)単数/複数の送信元ホストからのUDP Echo Requestsである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのUDP Echo Requestsである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| UDP Echo Request Port Scan(Reverse) | 1. (1)単数の送信元ホストからのUDP Echo Requestsである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのUDP Echo Requestsである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| UDP Echo Request Host Scan(Reverse) | 1. (1)複数の送信元ホストからのUDP Echo Requestsである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している 2. (1)複数の送信元ホストからのUDP Echo Requestsである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| UDP Echo Request Diagonal Scan(Reverse) | (1)複数の送信元ホストからのUDP Echo Requestsである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| UDP Echo Request Grid Scan(Reverse) | (1)複数の送信元ホストからのUDP Echo Requestsである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| UDP Echo Request Broadcasts | 宛先ポート7(Echo)へのUDP Echo Requestで、ブロードキャスト/マルチキャストIPへ送信され、上限値以上であり、以下の問題をひとつも満たさない 送信元IPにおける増幅攻撃である可能性を意味します。 | DoS / Flash Crowd |
| UDP Echo Request Broadcast Attack | (1)複数の送信元ホストからのUDP Echo Request Broadcastフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| UDP Echo Request Broadcast Inflood | (1)単数/複数の送信元ホストからのUDP Echo Request Broadcastフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Echo Request Broadcast Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのUDP Echo Request Broadcastフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのUDP Echo Request Broadcastフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Echo Request Broadcast Host Scan | 1. (1)単数/複数の送信元ホストからのUDP Echo Request Broadcastフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのUDP Echo Request Broadcastフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| UDP Echo Request Broadcast Port Scan(Reverse) | 1. (1)単数の送信元ホストからのUDP Echo Request Broadcastフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのUDP Echo Request Broadcastフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| UDP Echo Request Broadcast Host Scan(Reverse) | 1. 1. (1)複数の送信元ホストからのUDP Echo Request Broadcastフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのUDP Echo Request Broadcastフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| UDP Echo Request Broadcast Diagonal Scan(Reverse) | (1)複数の送信元ホストからのUDP Echo Request Broadcastフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| UDP Echo Request Broadcast Grid Scan(Reverse) | (1)複数の送信元ホストからのUDP Echo Request Broadcastフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| UDP Chargen-Echo Broadcasts | 送信元ポート18/Chargenから宛先ポート7/EchoへのUDPフローで、ブロードキャスト/マルチキャストIPへ送信され、上限値以上であり、以下の問題をひとつも満たさない 送信元IPにおける増幅攻撃である可能性を意味します。 | DoS / Flash Crowd |
| UDP Chargen-Echo Broadcast Attack | (1)複数の送信元ホストからのUDP Chargen-Echo Broadcasフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| UDP Chargen-Echo Broadcast Inflood | (1)単数/複数の送信元ホストからのUDP Chargen-Echo Broadcasフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
UDP Chargen-Echo Broadcast Outflood
|
1. (1)宛先ホスト数より少ない送信元ホストからのUDP Chargen-Echo Broadcasフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのUDP Chargen-Echo Broadcasフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Chargen-Echo Broadcast Host Scan | 1. (1)単数/複数の送信元ホストからのUDP Chargen-Echo Broadcasフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのUDP Chargen-Echo Broadcasフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| UDP Chargen-Echo Broadcast Host Scan(Reverse) | 1. (1)複数の送信元ホストからのUDP Chargen-Echo Broadcasフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのUDP Chargen-Echo Broadcasフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| UDP Echo-Chargen Broadcasts | 送信元ポート7/Echoから宛先ポート19/ChargenへのUDPフローで、ブロードキャスト/マルチキャストIPへ送信され、上限値以上であり、以下の問題をひとつも満たさない 送信元IPにおける増幅攻撃である可能性を意味します。 | DoS / Flash Crowd |
| UDP Echo-Chargen Broadcast Attack | (1)複数の送信元ホストからのUDP Echo-Chargen Broadcastフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| UDP Echo-Chargen Broadcast Inflood | (1)単数/複数の送信元ホストからのUDP Echo-Chargen Broadcastフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Echo-Chargen Broadcast Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのUDP Echo-Chargen Broadcastフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのUDP Echo-Chargen Broadcastフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Echo-Chargen Broadcast Host Scan | 1. (1)単数/複数の送信元ホストからのUDP Echo-Chargen Broadcastフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している 2. (1)単数/複数の送信元ホストからのUDP Echo-Chargen Broadcastフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| UDP Echo-Chargen Broadcast Host Scan(Reverse) | 1. (1)複数の送信元ホストからのUDP Echo-Chargen Broadcastフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのUDP Echo-Chargen Broadcastフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Excess Empty UDP Packets | ペイロードの無いUDPフロー(例:BytePerPacketが最小の28オクテット(bytes))で、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| Empty UDP Attack | (1)複数の送信元ホストからのEmpty UDPフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Empty UDP Inflood | (1)単数/複数の送信元ホストからのEmpty UDPフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Empty UDP Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのEmpty UDPフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのEmpty UDPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Empty UDP Port Scan | 1. (1)単数/複数の送信元ホストからのEmpty UDPフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのEmpty UDPフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Empty UDP Host Scan | 1. (1)単数/複数の送信元ホストからのEmpty UDPフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのEmpty UDPフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Empty UDP Diagonal Scan | (1)単数/複数の送信元ホストからのEmpty UDPフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Empty UDP Grid Scan | (1)単数/複数の送信元ホストからのEmpty UDPフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Empty UDP Port Scan(Reverse) | 1. (1)単数の送信元ホストからのEmpty UDPフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのEmpty UDPフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Empty UDP Host Scan(Reverse) | 1. (1)複数の送信元ホストからのEmpty UDPフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのEmpty UDPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Empty UDP Diagonal Scan(Reverse) | (1)複数の送信元ホストからのEmpty UDPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Empty UDP Grid Scan(Reverse) | (1)複数の送信元ホストからのEmpty UDPフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Excess Short UDP Packets | 僅かなペイロードのUDPフロー(例:BytePerPacketが29〜32オクテット(bytes))で、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| Short UDP Attack | (1)複数の送信元ホストからのShort UDPフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Short UDP Inflood | (1)単数/複数の送信元ホストからのShort UDPフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short UDP Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのShort UDPフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのShort UDPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Short UDP Port Scan | 1. (1)単数/複数の送信元ホストからのShort UDPフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのShort UDPフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short UDP Host Scan | 1. (1)単数/複数の送信元ホストからのShort UDPフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのShort UDPフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short UDP Diagonal Scan | (1)単数/複数の送信元ホストからのShort UDPフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short UDP Grid Scan | (1)単数/複数の送信元ホストからのShort UDPフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Short UDP Port Scan(Reverse) | 1. (1)単数の送信元ホストからのShort UDPフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのShort UDPフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short UDP Host Scan(Reverse) | 1. (1)複数の送信元ホストからのShort UDPフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのShort UDPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Short UDP Diagonal Scan(Reverse) | (1)複数の送信元ホストからのShort UDPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Short UDP Grid Scan(Reverse) | (1)複数の送信元ホストからのShort UDPフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Malformed UDP Packets | UDPフローでBytePerPacketが最小の28オクテット(bytes)を下回り、上限値以上であり、以下の問題をひとつも満たさない | 容疑フロー |
| Malformed UDP Attack | (1)複数の送信元ホストからのMalformed UDPフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| Malformed UDP Inflood | (1)単数/複数の送信元ホストからのMalformed UDPフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Malformed UDP Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのMalformed UDPフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのMalformed UDPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| Malformed UDP Port Scan | 1. (1)単数/複数の送信元ホストからのMalformed UDPフローである (2)複数の宛先ポート上の単数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Spanを超過している
2. (1)単数/複数の送信元ホストからのMalformed UDPフローである (2)複数の宛先ポート上の、送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Malformed UDP Host Scan | 1. (1)単数/複数の送信元ホストからのMalformed UDPフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのMalformed UDPフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Malformed UDP Diagonal Scan | (1)単数/複数の送信元ホストからのMalformed UDPフローである (2)複数の宛先ホストへのフローである (3)宛先ホスト数 = 宛先ポート数 = 宛先エンドポイント数である (4)宛先エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Malformed UDP Grid Scan | (1)単数/複数の送信元ホストからのMalformed UDPフローである (2)複数の宛先ポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Vertical SpanあるいはMinimum Horizontal Spanを超過している (4)宛先エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Malformed UDP Port Scan(Reverse) | 1. (1)単数の送信元ホストからのMalformed UDPフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Spanを超過している
2. (1)宛先ホスト数より少ない送信元ホストからのMalformed UDPフローである (2)単数/複数の宛先ホストへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Malformed UDP Host Scan(Reverse) | 1. (1)複数の送信元ホストからのMalformed UDPフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのMalformed UDPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Malformed UDP Diagonal Scan(Reverse) | (1)複数の送信元ホストからのMalformed UDPフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホスト数 = 送信元ポート数 = 送信元エンドポイント数である (4)送信元エンドにおいてMinimum Diagonal Spanを超過している | Scans / Probes |
| Malformed UDP Grid Scan(Reverse) | (1)複数の送信元ホストからのMalformed UDPフローである (2)単数/複数の宛先ポートへのフローである (3)複数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Vertical SpanまたはMinimum Horizontal Spanを超過している (5)送信元エンドにおいてMinimum Occupancyを超過している | Scans / Probes |
| Snork Attack Flows | UDPフロー送信元ポートがIN(7, 19, 135)で、宛先ポートがIN(135)で、上限値以上であり、以下の問題をひとつも満たさない Windows NT RPCサービスに対するDoS攻撃を意味します。 | DoS / Flash Crowd |
| UDP Snork Attack | (1)複数の送信元ホストからのUDP Snorkフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している | DoS / Flash Crowd |
| UDP Snork Inflood | (1)単数/複数の送信元ホストからのUDP Snorkフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Snork Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのUDP Snorkフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1) 単数/複数の送信元ホストからのUDP Snorkフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Snork Host Scan | 1. (1)単数/複数の送信元ホストからのUDP Snorkフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのUDP Snorkフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| UDP Snork Host Scan(Reverse) | 1. (1)複数の送信元ホストからのUDP Snorkフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのUDP Snorkフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Excess UDP Chargen-Echo Flows | 送信元ポート19/Chargenから宛先ポート7/EchoへのUDPフローで、任意のユニキャストIPへ送信され、上限値以上であり、以下の問題をひとつも満たさない 送信元IPにおける増幅攻撃である可能性を意味します。 | DoS / Flash Crowd |
| UDP Chargen-Echo Inflood | 1. (1)複数の送信元ホストからのUDP Chargen-Echoフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
(1)単数/複数の送信元ホストからのUDP Chargen-Echoフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Chargen-Echo Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのUDP Chargen-Echoフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのUDP Chargen-Echoフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Chargen-Echo Host Scan | 1. (1)単数/複数の送信元ホストからのUDP Chargen-Echoフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのUDP Chargen-Echoフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| UDP Chargen-Echo Host Scan(Reverse) | 1. (1)複数の送信元ホストからのUDP Chargen-Echoフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのUDP Chargen-Echoフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| Excess UDP Echo-Chargen Flows | 送信元ポート7/Echoから宛先ポート19/ChargenへのUDPフローで、任意のユニキャストIPへ送信され、上限値以上であり、以下の問題をひとつも満たさない 送信元IPにおける増幅攻撃である可能性を意味します。 | DoS / Flash Crowd |
| UDP Echo-Chargen Inflood | 1. (1)複数の送信元ホストからのUDP Echo-Chargenフローである (2)送信元ホスト数より少ない宛先ホストへのフローである (3)宛先エンドにおいてMinimum ConvergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのUDP Echo-Chargenフローである (2)単数/複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Echo-Chargen Outflood | 1. (1)宛先ホスト数より少ない送信元ホストからのUDP Echo-Chargenフローである (2)複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum DivergenceとMinimum Flux Rateを超過している
2. (1)単数/複数の送信元ホストからのUDP Echo-Chargenフローである (2)単数/複数の宛先ホストへのフローである (3)送信元エンドにおいてMinimum Flux Rateを超過している |
DoS / Flash Crowd |
| UDP Echo-Chargen Host Scan | 1. (1)単数/複数の送信元ホストからのUDP Echo-Chargenフローである (2)単数のポート上の複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Spanを超過している
2. (1)単数/複数の送信元ホストからのUDP Echo-Chargenフローである (2)送信元ホスト数より少ない宛先ポート上の、複数の宛先ホストへのフローである (3)宛先エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |
| UDP Echo-Chargen Host Scan(Reverse) | 1. (1)複数の送信元ホストからのUDP Echo-Chargenフローである (2)単数/複数の宛先ホストへのフローである (3)単数の送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Spanを超過している
2. (1)複数の送信元ホストからのUDP Echo-Chargenフローである (2)単数/複数の宛先ホストへのフローである (3)送信元ホストより少ない送信元ポートを使用している (4)送信元エンドにおいてMinimum Horizontal Span、Minimum Occupancy、Minimum Aspect Ratioを超過している |
Scans / Probes |