IDS(侵入検知システム)
IDSって
ネットワークやホストで発生している事象を リアルタイム で監視して侵入や攻撃を検知し、通知などのアクションを実行するシステム。
NIDS(ネットワーク型侵入検知システム)とHIDS(ホスト型親友検知システム)がある。
NIDS
NIDSはネットワークセグメントに専用の機器を接続して監視する。
検知の仕組みにはシグネチャとのパターンマッチングと異常検知(アノマリ検知)がある。
パターンマッチングで検知可能な事象は以下の通り。
パターンマッチングでは、広く知られているソフトウェアに対する登録済みの攻撃パターンしか検知できない。また、シグネチャは常に最新状態にアップデートする必要がある。
異常検知(アノマリ検知)で検知可能な事象は以下の通り。
検知後はメールで通知する、ログに出力する、当該通信を遮断するなどのアクションが実行可能である。
HIDS
HIDSは監視対象のホストにインストールして使用する。
検知可能な事象は以下の通り。
- ログインの成功・失敗
- 特権ユーザーへの昇格
- システム管理者用プログラムの起動
- 特定ファイルへのアクセス
- 設定ファイルの変更
- プログラムのインストール
- システムディレクトリに存在するファイルの書き換え・削除
- WEBコンテンツの改ざん
HIDSはOS標準の機能を用いて検知するため、あまり必要性が高いとは言えないが、リアルタイムに検知できる点は有用である。 検知後はメール通知やログ出力のほか、アカウントのロックアウト、ログイン拒否、上位権限への昇格制限、特定ファイルファイルへのアクセス拒否などが実行可能である。