IDSって

ネットワークやホストで発生している事象を リアルタイム で監視して侵入や攻撃を検知し、通知などのアクションを実行するシステム。

NIDS(ネットワーク型侵入検知システム)とHIDS(ホスト型親友検知システム)がある。

NIDS

NIDSはネットワークセグメントに専用の機器を接続して監視する。

検知の仕組みにはシグネチャとのパターンマッチングと異常検知(アノマリ検知)がある。

パターンマッチングで検知可能な事象は以下の通り。

• ポートスキャン
• BOFのようなOSやソフトウェアの脆弱性をついた攻撃
• サーバーに対する不正なコマンドの発行
• ネットワーク経由のパスワードクラッキング
• パケットを偽装するタイプのDOS

パターンマッチングでは、広く知られているソフトウェアに対する登録済みの攻撃パターンしか検知できない。また、シグネチャは常に最新状態にアップデートする必要がある。

異常検知(アノマリ検知)で検知可能な事象は以下の通り。

• 大量に発行されたコマンド、異常な数の応答パケット
• プロトコルに反したデータの流れ、プロトコルに従っていないヘッダ情報を持つパケット

検知後はメールで通知する、ログに出力する、当該通信を遮断するなどのアクションが実行可能である。

HIDS

HIDSは監視対象のホストにインストールして使用する。

検知可能な事象は以下の通り。

• ログインの成功・失敗
• 特権ユーザーへの昇格
• システム管理者用プログラムの起動
• 特定ファイルへのアクセス
• 設定ファイルの変更
• プログラムのインストール
• システムディレクトリに存在するファイルの書き換え・削除
• WEBコンテンツの改ざん

HIDSはOS標準の機能を用いて検知するため、あまり必要性が高いとは言えないが、リアルタイムに検知できる点は有用である。 検知後はメール通知やログ出力のほか、アカウントのロックアウト、ログイン拒否、上位権限への昇格制限、特定ファイルファイルへのアクセス拒否などが実行可能である。