IDS / Intrusion Detection System

■ IDS。Intrusion Detection System。

  侵入検知システム。

  外部からの通信をリアルタイムで監視し、
  攻撃を検出すると、管理者に通知するシステムの総称。
  単に攻撃を通知するだけでなく、当該パケットの記録をしたり、
  ファイアウォールと連携してセッションを切ることもできる。

  IDSは、ホスト型IDSとネットワーク型IDSに分類される。

  (1) ホスト型IDS。

      特定のサーバマシンにインストールして、
      当該マシンに流れてきたパケットだけを監視するタイプのIDS。
      単にIDSとも言う。
      代表的なソフトウェアとしては、Tripwireなどがある。

  (2) ネットワーク型IDS。

      ネットワーク上に流れている全てのパケットを収集・監視するIDS。
      NIDSとも言う。
      代表的なソフトウェアとしては、Snortなどがある。

■ IDSが侵入をリアルタイムに検知する方法。

  IDS、またはNIDSが、攻撃をリアルタイムに検知する方法には、
  シグネチャ検出と異常検出の2種類がある。

  (1) シグネチャ検出。Signature Recognition。

      ポートスキャンやDoS攻撃といった侵入・攻撃パターンを
      シグネチャとして予め登録しておき、
      パケットを常時キャプチャしながら、
      これと同じパターンを検出する方法。

  (2) 異常検出。

      正常な運用状態におけるトラフィックや
      CPUの利用率、ディスクの利用率を記録しておき、
      これと比較しながら異常を検出する方法。
      NIDSの場合は、MRTGを用いてリアルタイムに情報を取得する。

  このほかにも、ディレクトリやファイルのハッシュ値を保存しておき、
  ファイルの改ざんをチェックするなどの方法がある。

以上。

2004/02/23 pm