侵入防御システム
侵入防御システム(Intrusion Prevention System:IPS)
IPSとは
IPSとは、コンピュータネットワークにおいてネットワーク及びコンピュータへ不正侵入されるのを防御するシステムです。
IDS(侵入検知システム)は、ネットワーク通信で不正アクセスを検知してもあくまで通知するのみであり、通信内容を一旦コピーしてから解析を行うため最初の侵入は防ぐことが出来ず、新手の攻撃や亜種の攻撃に対して弱いという一面を持っています。
不正アクセスに対して、自動的に通信断やサーバのシャットダウンを行うといった能動的発想で構築されているのがIPSです。
IPSの動作
不正検知方式(Misuse Detection)
不正検知方式とは、シグネチャ(既知の攻撃における特徴を記述したデータ)をデータベースに格納しておき、ネットワーク上を流れるパケットの内容と比較する方法です。
シグネチャとパケット内容が一致した場合には攻撃が発生したとして検知します。
「シグネチャ検知方式」や「シグネチャ・マッチング方式」とも呼ばれます。
異常検知方式(Anomaly Detection)
異常検知方式とは、正常なアクセスに関するデータを持っておき、ネットワーク上を流れるパケットの内容と比較する方法です。
異常なパケットを見つけた場合に攻撃が発生したと検知します。
統計的異常検知方式(Statistical Anomaly Detection)
統計的異常検知方式とは、通常時(定常的)のネットワークトラフィックの特徴を学習させて「プロファイル」を作成しておき、プロファイルの内容と大きく異なるトラフィックが発生していないか監視する方法です。
ウイルスやワームが発生した場合には、プロファイルの内容から大きく外れたアクセスが発生するため、検知することができます。
プロトコル異常検知方式(Protocol Anomaly Detection)
プロトコル異常検知方式とは、プロトコルの仕様(RFC)に準拠していないネットワークアクセスを異常として検知する方法です。
IPSの接続方法
プロミスキャスモード(Promiscuous Mode)接続
自分宛でないフレームを破棄しないで無条件に取り込むモードです。
プロミスキャスとは「無差別」という意味です。
インラインモード接続
IPSがネットワークを一時的に遮断するような形で接続されるモードです。
攻撃や不正アクセスを確実に遮断することが可能となります。
IPSの問題点
誤検知について
IPSが正常な事象を不正であると判断してしまうことを「false positive」(誤検知)といいます。
本来検知するべき不正行為を見逃してしまうことを「false negative」(検知漏れ)といいます。
IDSであれば、誤検知があっても管理者へ通知されるだけであるためシステム自体の稼働に影響はありません。
しかし、IPSの場合には誤検知によって正常なアクセスを遮断してしまいシステムへの影響が発生します。
IPSはIDSよりも高い検知精度が求められるといえます。
IPSソフトウェアについて
製品として発売された初のIPSソフトウェアは、Network ICE社の「BlackICE Guard」です。