IDS

IDS とは †

名称 †

• Intrusion Detection System
• 侵入検知システム

概要 †

• ネットワークやホストを監視して侵入や攻撃を検知するシステム

• 攻撃を検知する方法
  • 発生する事象をシグネチャのデータベースと照合して不正なパケットを検知する
  • アノマリー検知でプロトコルの仕様通りではないパケットを検知する

• 攻撃を検知した場合のアクション
  • ログに記録する
  • 管理者に通知する
  • 指定したプログラムを実行する
  • コネクションを切断・遮断する

IDS の種類 †

NIDS †

• Network-Based Intrusion Detection System
• ネットワーク型IDS

• 接続されたネットワークセグメントを流れるパケットを監視する
• 監視対象のネットワークセグメントに接続する
  • ネットワークに接続する方法
    • プロミスキャスモード（インライン接続ではない）
    • ポートミラーリング
• SSL/TLSで暗号化されたパケットは監視することができない（上記機種でできるものもある）
• 検知する攻撃
  • 不正アクセス
  • BOF攻撃、DoS攻撃、ポートスキャンなど
• ネットワーク型IDSに防御機能を追加したシステムのことをIPS呼ばれている

HIDS †

• Host-Based Intrusion Detection System
• ホスト型IDS

• 特定のホストに常駐してホスト上で発生する事象を監視する
• 監視対象のホストにインストールする
• 検知する攻撃
  • ログインの成功・失敗、重要資源へのアクセス、ファイルの改ざんなどを監視する

フォールスポジティブとフォールスネガティブ †

• 「不正検知」参照

製品(OSS) †

• Suricata
• Snort

関連用語 †

• IPS
• ネットワーク
• ポートスキャン
• ポートミラーリング
• ファイアウォール