今回は、IDSとIPSについてです。
- ■IDS(Intrusion Detection System)について
- ■IDSの設置場所について
- ■IDSによる検知方法の種類について
- ■補足:フォールスポジティブとフォールスネガティブについて
- ■IPS(Intrusion Prevention System)について
■IDS(Intrusion Detection System)について
不正侵入検知システムです。
ファイアウォールなどのパケットフィルタリングでは不正パケットかどうかの判別が難しい攻撃に備える為の技術です。
例)DoS攻撃
■IDSの設置場所について
IDSの設置場所による下記2つに大別されます。
① ホスト型IDS(HIDS)
② ネットワーク型IDS(NIDS)
■① ホスト型IDS(HIDS)について
監視対象となるサーバに設置(インストール)します。
サーバに設置するため、サーバで受信したデータやログ等を監視することができます。
また、ファイル改ざん検知に対応しているIDS製品もあります。
■② ネットワーク型IDS(NIDS)について
ネットワーク上に設置して、ネットワークを流れるパケットを監視します。
パケットを取得しないと機能することができないため、NIDSの設置場所については考慮する必要があります。
■IDSによる検知方法の種類について
以下2つがあります。
① 不正検出(Misuse検知)
② 異常検出(Anomarly検知)
■① 不正検出(Misuse検知)
シグネチャと呼ばれる不正データベースと照合し、マッチすると検知/検出されます。
シグネチャをベースに検知するため、シグネチャ情報の更新が鍵となります。
シグネチャの情報よりも新種の攻撃パターンが存在した場合には、検知することができません。
導入は比較的容易です。
■① 異常検出(Anomarly検知)
サーバやシステムの正常な状態を記録しておき、その状態と比較して異常を判別することで検知/検出を行います。
つまり、「通常と異なる振る舞いをした場合に異常として検知される」ということです。
導入がやや大変です。
■補足:フォールスポジティブとフォールスネガティブについて
IDS/IPSによる検知には以下のパターンがあります。
① 正常な通信を不正な通信としてしまう
⇒ 「フォールスポジティブ」と言います。
セキュリティレベルは変わりません。
業務影響はありますが、不正な通信を誤って通してしまうよりかはマシです。
② 不正な通信を正常な通信としてしまう
⇒ 「フォールスネガティブ」と言います。
セキュリティレベルが下がります。
また、不正な通信を通してしまうため、危険な状態です。(ネガティブ)
■IPS(Intrusion Prevention System)について
不正侵入防止システムです。
IDSとの違いは、検知した後に異常な通信をブロック(防止)します。
また、IPSは基本的にはネットワーク上に設置されます。
以上です。