Intrusion Detection System(IDS)

HOME 定番情報源情報漏洩を防止する →個人情報保護 →情報漏洩防止商品 →データの消去・抹消・削除 Linux関連情報 →SELinux →LIDS Microsoft関連情報プロファイリングで攻撃者を調査する認証脆弱性検査(ペネトレーションテスト) ログチェックウィルス対策 →Gumblar(ガンブラー) →ウイルスバスターダウンロード →ノートンダウンロードスパイウェア・トロイの木馬対策パケットキャプチャでネットワーク監視暗号化 VPN セキュアな無線LAN セキュアプログラミング →SQLインジェクションメール関連のセキュリティファイアウォールで守る侵入検知 →Snort シンクライアントインシデントレスポンスセキュリティポリシーセキュリティ監査セキュリティ関連の法律過去のニュースクレジットカードのセキュリティ電子マネーのセキュリティ各種ツールメモノンセクションセキュリティ関連書籍サイトマップ

2年連続！最優秀ウイルス対策ソフト！AV-comparatives認定！

IDSとは、Intrusion Detection System の略で、侵入検知システムのことです。IDSは大きく分けると、ネットワークを監視するネットワーク型IDSとサーバ自体を監視するホスト型があります。

ネットワーク型の機能としては、ネットワークを流れるパケットをキャプチャーし、不審なパケットを検出する機能、ホスト型の機能としては、ログに異常な記録が無いか監視する機能、ファイルが不当に書き換えられていないか監視する機能などがあります。
基本的なフローは、ログを収集、ログを解析、不正と判断した場合の処理、異常情報を管理者に通知という流れです。IDSは検知はするが、防御は行わないのが一般的です。また、IDSの誤検知には2種類あって、検知すべき事象ではないを、侵入行為として判定しまうフォールスポジティブ(false positive)と、検知すべき事象を見逃してしまうフォールスネガティブ(false negative)があり、いかに両方抑えるかが管理者の課題となっています。
また、検知を回避するエバージョン攻撃などの特殊な攻撃による検知漏れもある。IDSの検知を回避するエバージョン攻撃とは、攻撃パケットを分割したり、パケットの送出順序を入れ替えたりする攻撃で、TCP,IPレベルで分割したパケットの送出順序を故意に入れ替えたり、まったく同じパケットを重複して送信したり、パケット順を示す識別子が同じで内容が異なる複数のデータ・パケットを送信する(フォワード・オーバーラップ)といった攻撃パターンがある。

今後のネットワーク型IDSの課題は、ネットワークの高速化に処理速度を追従させること(※1)と、伝送路上のデータの暗号化が一般化することによって不正アクセスが検出できなくなるという点です。
つまりスイッチングネットワーク環境での運用、高速ネットワークおよび高トラフィック環境での運用、シグネチャベースの検知方法の限界、暗号化されたパケット、IDS自体に対する攻撃、IDSを回避する攻撃、検知された事象に対する解析作業が大変という点がIDSを使っていく上で解決していかなければなりません。

(※1)Snort 2.0 では、プロトコルフローアナライザーによってSnort 1.9と比較して、最大18倍もの性能向上を実現したようです。

IDS(不法侵入検知システム)
http://www.keyman.or.jp/search/security2/30000472_1.html
IPS
http://www.keyman.or.jp/search/security2/30000704_1.html
DoS攻撃やスパイウェアにも効く不正侵入防御システム
http://www.atmarkit.co.jp/fsecurity/special/72ips/ips01.html (2005/7/29)
IPSアプライアンスカタログ2005[中編]
セキュリティの次の一手となる不正侵入防御システム
http://www.atmarkit.co.jp/fsecurity/special/66ips/ips01.html (2005/6/24)
IPSアプライアンスカタログ2005[前編]
苦労してますよね？－IDS/IPSの誤検知への対応法(＠IT) 2005/6/4
IPSを実装する場所と考慮すべき点(＠IT) 2005/5/20
IDS といえば snort
オープンソースのNIDSの代表であるsnort。その活用法の紹介とリソースへのリンク。
今週の立ち読み製品/スグ解る！「IPS」(キーマンズネット) 2004/12/24
第4回　不正侵入に対抗するIDS／IPSの常識(ITmedia) 2004/12/10
不正侵入対策最前線（前編） 2001/8/21
不正侵入対策最前線（後編） 2001/9/15
続不正侵入対策最前線 2002/7/3
Windows TIPS -- Tips：レジストリへのアクセスをモニタする方法 2002/11/30
Windows NT Intruder Detection Checklist
「Know Your Enemy（己の敵を知れ）」---攻撃者のOSを特定する方法
不正侵入の証拠を押さえろ――まずはディスクの内容を正しく保存する
PCJapan：2003年10月号 - 特集2：緊急警報！IDS&ファイアウォールで武装せよ
ハニーポット
- HoneyNet Project
  - Honeynet Tools
    
    Linux用のカーネルレベルで動作するハニーポットデーモンです
  - kpotd - Kernel Honeypot Daemon
  - Know Your Enemy: GenII Honeynets 2003/4/12
  - Honeynet Whitepapers (Japanese Translation) ★★★☆☆
    Know Your Enemy日本語訳
- Honeypot & Intrusion Detection Resources
- ネットワーク監視技術としてのハニーポットについて(Microsoft) 2004/7/30
  マイクロソフト security MVP 濱本常義講師
- 新手口や攻撃傾向を調べるためのシステム構築・運営テクニック（上）(IT Pro) 2003/5/18
- 新手口や攻撃傾向を調べるためのシステム構築・運営テクニック（中）(IT Pro) 2003/5/25
- 新手口や攻撃傾向を調べるためのシステム構築・運営テクニック（下）(IT Pro) 2003/5/31
- SecurityFocus HOME News: Use a Honeypot, Go to Prison? 2003/4/16
  ハニーポット運用上の問題
- ハニーポット・ソフト続々登場 2003/3/12
- ハニーポットでスパムを防ごう 2002/12/4
- ハニーポットを利用したネットワークの危機管理
- ハニーポットの構築及びデータ分析
- Honeypots
- Developments of the Honeyd Virtual Honeypot
  Honeyd is a small daemon that creates virtual hosts on a network.
- Honeyd - Network Schizophrenia
- HoneyView - a honeyd Logfileanalyzer
- SourceForge.net: Project Info - single-honeypot
- Security Profiling
  Honeyd For Windows
- :: Security Corporation ::
  Trap Server
- SecurityFocus HOME Infocus: Open Source Honeypots: Learning with Honeyd 2003/1/20
- SecurityFocus HOME Infocus: Open Source Honeypots, Part Two: Deploying Honeyd 2003/3/12
- SecurityFocus HOME Infocus: Honeypots: Simple, Cost-Effective Detection 2003/4/30
- Honeypots 2003/5/9
chkrootkit
- rootkit - ITNAVI.net
その他のNIDS
- ネットワークセキュリティ・ソリューション - ActiveScout - ネットワークディフェンス
- NET&COM 2003レポート：不正侵入検知の先へ向かうセキュリティ製品 2003/2/7
- プロアクティブなセキュリティ対策を実現する2つの新製品 2002/2/25
Tripwire
Tripwireは、SIV(System Integrity Verifiers)システムの完全性をチェックするツールです。
- セキュリティ How-To - 第1回　Tripwireを導入する－その1 2002/9/11
- セキュリティ How-To - 第2回：Tripwireを導入する－その2 2002/9/30
- セキュリティ How-To - 第3回：レポートの参照とデータベースのアップデート 2002/11/22
- ZDNet エンタープライズ：第4回：レポートの送信とCronを利用した定期的な整合性のチェック 2002/10/24
- ZDNet エンタープライズ：第5回　Tripwireを運用するときの注意点 2002/12/6
- Tripwireによるホスト型IDSの構築（1/3） 2002/3/19
- ネットイットワークス，セキュリティサービスに「Tripwire」を活用
- tripwireで改竄チェックする
- TRIPWIRE for LINUX
  監：トリップワイヤ・ジャパン株式会社
  サイズ： B5変型判
  ページ数： 146
  発売日： 2001/04/16
その他HIDS(ファイル完全性チェッカーなど)
- Osiris
- Samhain (サワーン)に関するメモ
- File System Saint
  Tripwireのようなファイル整合性チェッカー。Perlで書かれている為、Windowsでも動作可能。
- FIDSマニュアル
- FIDSMマニュアル
- XP_SHA1_FIND SQL Server用拡張ストアドプロシージャ(WindowsNT/2000/XP/ビジネス)
News
- Interview：新アプライアンス「RNA」でIDSの補完を目指すSourcefire(ITmedia) 2003/11/21
- 従来型IDSの限界を説いたSnortの生みの親(ITmedia) 2003/11/21
- 非営利団体のOWASP、オープンソースのファイアウォール/IDSを公開予定 2002/11/20
- 1台で不正侵入検知と防御を実現する「Attack Mitigator IPS」 2002/11/14
- シマンテック、不正侵入検知システムと擬装システムを発売 2002/11/5
- シマンテック、未知の攻撃にも対応できる不正侵入検知システムを発売 2002/11/5
  IDS ManHunt,ハニーポット ManTrap
- 新しいセキュリティー・ツールはハッカーの隠れ蓑？ 2002/4/22
- SnortベースのIDSアプライアンスが登場
- 侵入検知システム「Snort」にセキュリティ・ホール，DoS攻撃を受ける恐れあり
Articles
- Host-Based IDS vs Network-Based IDS (Part 1). 2003/7/10
- 連載基礎から学ぶWindowsネットワーク第10回　IPパケットの構造とIPフラグメンテーション 2003/4/4

2年連続！最優秀ウイルス対策ソフトの上位版

セキュリティ情報ディレクトリリンク集 Presented by ITNAVI.com