IDS/IPSについて

今回は、IDSとIPSについてです。
IDS(Intrusion Detection System) :侵入検知システム
IPS(Intrusion Prevention System):侵入防御システム

IDSは何種類もある攻撃パターン(シグネチャ)のデータベースから、
攻撃を検知し、IPSはその攻撃を遮断します。

ネットワーク型IDS

ネットワーク型IDSは「NIDS」とも呼ばれたりしますが、
ネットワークを流れるパケットをリアルタイムに監視し、ポリシーに従い検知します。
また、検知した場合、アラートをあげ、自動的にメールなどで通知することが可能です。

検知の種類としては、「シグネチャのパターンマッチング」「アノマリ検知」
があります。

シグネチャのパターンマッチングでは以下のような通信を検知します。
・ポートスキャン
・OSやソフトウェアの脆弱性をついた攻撃
・BOF攻撃
・サーバへのコマンド発行
・パスワードクラッキング
・パケットを偽装したDoS攻撃

アノマリ検知(異常検知)では以下のような通信を検知します。
・サーバなどに向けて大量に発行されたコマンド
・プロトコルに仕様に反したパケット
・異常な数のパケット

大量にパケットを送りつけるDoS攻撃やシグネチャに反映されていない未知の攻撃(ゼロデイ攻撃)、
ウイルス感染後の異常な振る舞いなどを検知することができます。

ネットワーク型IDSはスイッチを経由するポートをミラーリングして、
トラフィックを監視します。
まずはもっとも脅威のあるインターネット側の通信を一般的には監視します。

<構成例>

IDS

ホスト型IDS

ホスト型IDSは「HIDS」とも呼ばれますが、
Webサーバ、DBサーバ、メールサーバなどにインストールして、
使用します。

NIDSは仮想・物理アプライアンスとなりますが、
HIDSはホストにインストールするタイプのソフトウェアです。

検知項目としては次のとおりです。
・ログインの成功/失敗
・特権ユーザへの昇格
・ファイルへのアクセス
・設定ファイルの変更
・ファイルの書き換え/削除
・プログラムのインストール
・プログラムの起動
・Webコンテンツの改ざん ・・・など

【NIDS・HIDS 比較表】

NIDS HIDS
ポートスキャン
BOF攻撃
DoS攻撃
サーバへのコマンド発行 ×
ログインの成功・失敗
SQLインジェクション
重要なリソースへのアクセス ×
不正なプログラムのインストール ×
不正なプログラムのインストール ×

IPS

IPSは、NIDS+攻撃を遮断する機能をもった装置と言えます。

IDSではポートを監視して検知する形ですが、
IPSでは遮断するため、一般の構成としては以下のような形となります。

IPS



コメントを残す