侵入検知システム
侵入検知システム(Intrusion Detection System:IDS)
IDSとは
IDSとは、ネットワークやホストをリアルタイム管理し、不正アクセスを検知した場合にはネットワーク管理者へ通知する機能です。
IDSは攻撃パターン(シグネチャ)のデータベースを保持しており、照合することで異常を検知します。
ファイアウォールは一般的にトランスポート層までの情報までを扱いますが、IDSはパケットに含まれる全データを確認します。
IDSの種類
ネットワーク型IDS(NIDS)
ネットワークのパケットをリアルタイム監視して、監視ポリシに基づいて不正アクセスや異常を検知します。
検知後には、ネットワーク管理者への通知に加えて、通信切断(TCP,UDP,ICMPなど)やファイアウォールとの連携(ACLの動的変更)などのアクションを設定することができます。
NIDSの一般的な検知方法は、以下の2つが挙げられます。
| シグネチャとのパターンマッチング | 既知の攻撃手法との比較により検知します。 |
| 異常検知(アノマリ検知) | パケットをRFCのプロトコル仕様などと比較し、仕様から逸脱したものを異常とみなる手法です。 |
ホスト型IDS(HIDS)
HIDSは、対象ホストにインストールし、異常が発生していないかをリアルタイム監視します。
異常が確認された際には、NIDSと同様に通知を行います。
IDSに関する運用上の課題について
誤検知について
IDSが正常な事象を不正であると判断してしまうことを「フォルスポジティブ」といいます。
本来検知するべき不正行為を見逃してしまうことを「フォルスネガティブ」といいます。
誤検知を防ぐために厳しい監視機能を持たせてしまうと、システムの性能が劣化する場合があります。
IDSは導入するメリットとデメリット、設置場所を十分考慮してからシステムに導入する必要があります。
パケット解析の不備
暗号化パケットを解析することはできません。
また、大量トラフィックの中ではパケットの解析漏れが発生する可能性もあります。
代表的なIDSソフトウェア
snort
snortは、Linux対応のネットワーク型IDSでは最も有名かつ利用されているフリーソフトウェアです。
さらに、BASEをインストールすれば、Snortのアラートをwebで見られるようになります。
AIDE
AIDE(Advanced Intrusion Detection Environment)は、ホスト型IDSとしてRHEL5以降で標準パッケージに含まれているフリーソフトウェアです。
商用HIDSであるTripwireに類似したソフトウェアです。