セキュリティ情報ディレクトリ ITNAVI.net
Google
WWWを検索 itnavi.netを検索
HOME  定番情報源  情報漏洩を防止する  →個人情報保護  →情報漏洩防止商品  →データの消去・抹消・削除  Linux関連情報  →SELinux  →LIDS  Microsoft関連情報  プロファイリングで攻撃者を調査する  認証  脆弱性検査(ペネトレーションテスト)  ログチェック  ウィルス対策  →Gumblar(ガンブラー)  →ウイルスバスター ダウンロード  →ノートン ダウンロード  スパイウェア・トロイの木馬対策  パケットキャプチャでネットワーク監視  暗号化  VPN  セキュアな無線LAN  セキュアプログラミング  →SQLインジェクション  メール関連のセキュリティ  ファイアウォールで守る  侵入検知  →Snort  シンクライアント  インシデントレスポンス  セキュリティポリシー  セキュリティ監査  セキュリティ関連の法律  過去のニュース  クレジットカードのセキュリティ 電子マネーのセキュリティ  各種ツールメモ  ノンセクション  セキュリティ関連書籍  サイトマップ 


IDSとは、Intrusion Detection System の略で、侵入検知システムのことです。IDSは大きく分けると、ネットワークを監視するネットワーク型IDSとサーバ自体を監視するホスト型があります。

ネットワーク型の機能としては、ネットワークを流れるパケットをキャプチャーし、不審なパケットを検出する機能、ホスト型の機能としては、ログに異常な記録が無いか監視する機能、ファイルが不当に書き換えられていないか監視する機能などがあります。
基本的なフローは、ログを収集、ログを解析、不正と判断した場合の処理、異常情報を管理者に通知という流れです。IDSは検知はするが、防御は行わないのが一般的です。また、IDSの誤検知には2種類あって、検知すべき事象ではないを、侵入行為として判定しまうフォールスポジティブ(false positive)と、検知すべき事象を見逃してしまうフォールスネガティブ(false negative)があり、いかに両方抑えるかが管理者の課題となっています。
また、検知を回避するエバージョン攻撃などの特殊な攻撃による検知漏れもある。IDSの検知を回避するエバージョン攻撃とは、攻撃パケットを分割したり、パケットの送出順序を入れ替えたりする攻撃で、TCP,IPレベルで分割したパケットの送出順序を故意に入れ替えたり、まったく同じパケットを重複して送信したり、パケット順を示す識別子が同じで内容が異なる複数のデータ・パケットを送信する(フォワード・オーバーラップ)といった攻撃パターンがある。

今後のネットワーク型IDSの課題は、ネットワークの高速化に処理速度を追従させること(※1)と、伝送路上のデータの暗号化が一般化することによって不正アクセスが検出できなくなるという点です。
つまりスイッチングネットワーク環境での運用、高速ネットワークおよび高トラフィック環境での運用、シグネチャベースの検知方法の限界、暗号化されたパケット、IDS自体に対する攻撃、IDSを回避する攻撃、検知された事象に対する解析作業が大変という点がIDSを使っていく上で解決していかなければなりません。

(※1)Snort 2.0 では、プロトコルフローアナライザーによってSnort 1.9と比較して、最大18倍もの性能向上を実現したようです。

セキュリティ情報ディレクトリセキュリティ情報ディレクトリ リンク集 Presented by ITNAVI.com