【IDSとIPSについて】
このHPは、IDSとIPSについてまとめたものです
1-1 IDS(侵入検知システム)とは
IDS(侵入検知システム)とは、コンピュータやネットワークへの不正侵入の検知を目的とするセキュリティ装置で通信路を監視し、攻撃パターンまたは「シグネチャ」と呼ばれるデータベースに基づくなどしてネットワーク上の攻撃を検知するシステムのことを指す。
パケットフィルタリング方式のファイアーウォールでは制限できない、許可された通信プロトコルによる攻撃を防ぐ効果がある。外部からの不正な攻撃や、疑わしいアクセスが検知された場合に管理者へ通知する。
1-2 IPS(侵入防止システム)とは
IPS(侵入防止システム)とは、IDS侵入検知機能に加え、検知した攻撃の破棄や、検知以降の通信を遮断して、侵入を防止する機能を提供するシステム。
IPSでは、不正なネットワークパケットを遮断して、当該パケットが端末などに到達するのを防止する。
ファイアーウォールでは検出が難しい脅威も、IPSであれば検出できるものもある。
IDS/IPSには、その設置形態によって、「ネットワーク型IDS/IPS(NIDS/NIPS)」と「ホスト型IDS/IPS(
HIDS/HIPS」の2種類に分けられる。
1-3 ネットワーク型IDS/IPS(NIDS/NIPS)
ネットワーク型IDS/IPS(NIDS/NIPS)は、ネットワークセグメント内のパケットを収集して不正を検知するIDS/IPS。
ネットワークの要所に設置し、IDS/IPSが通過する通信をチェックすることで、不正アクセスや異常なパターンなどを検出する。ネットワーク型IDS/IPS(NIDS/NIPS)はトラフィック量が処理能力を超えるとパケットの取りこぼし等が発生する。
1-4 ホスト型IDS/IPS(HIDS/HIPS)
ホスト型IDS/IPS(HIDS/HIPS)は下図の様に、監視対象のホストにインストールして、ホストが出力するログインログや、リソースへのアクセスログ、サーバーソフトウェアの動作ログなどを監視して異常な動作を検出する。
この方式は、確実な検知ができる一方で、ホストの処理に影響を与える。
基幹業務を担うサーバー上などで、ホスト型IDS/IPSを稼働させると、処理能力が低下する可能性もある。
1-5 攻撃の検知方法
IDS/IPSが攻撃を検知する検知方式は、主に以下の2つ。
・シグネチャ型
・アノマリ型
◆シグネチャ型
シグネチャ型は、不正侵入を行うような攻撃データを、シグネチャとしてデータベースに登録し、一致したネットワークパケット(データ)を遮断する。
この方式はウィルス対策ソフトのパターンマッチングと同様。
そのため、最新のシグネチャに更新をしないと、最新の攻撃を検知できない可能性がある。
シグネチャは、IDS/IPS装置のベンダーから提供され、シグネチャを細心に保つように運用する。
◆アノマリ型
アノマリ型は、まずシステムやネットワークにおける、通常の挙動パターンを学習後、正常とは異なるふるまいを検知し、当該ネットワークパケットを遮断する。
現在のIDS/IPSでは、シグニチャ型とアノマリ型を組み合わせて検出制度を高めていることも多い。
このHPは、IDSとIPSについてまとめたものです
1-1 IDS(侵入検知システム)とは
IDS(侵入検知システム)とは、コンピュータやネットワークへの不正侵入の検知を目的とするセキュリティ装置で通信路を監視し、攻撃パターンまたは「シグネチャ」と呼ばれるデータベースに基づくなどしてネットワーク上の攻撃を検知するシステムのことを指す。
パケットフィルタリング方式のファイアーウォールでは制限できない、許可された通信プロトコルによる攻撃を防ぐ効果がある。外部からの不正な攻撃や、疑わしいアクセスが検知された場合に管理者へ通知する。
1-2 IPS(侵入防止システム)とは
IPS(侵入防止システム)とは、IDS侵入検知機能に加え、検知した攻撃の破棄や、検知以降の通信を遮断して、侵入を防止する機能を提供するシステム。
IPSでは、不正なネットワークパケットを遮断して、当該パケットが端末などに到達するのを防止する。
ファイアーウォールでは検出が難しい脅威も、IPSであれば検出できるものもある。
IDS/IPSには、その設置形態によって、「ネットワーク型IDS/IPS(NIDS/NIPS)」と「ホスト型IDS/IPS(
HIDS/HIPS」の2種類に分けられる。
1-3 ネットワーク型IDS/IPS(NIDS/NIPS)
ネットワーク型IDS/IPS(NIDS/NIPS)は、ネットワークセグメント内のパケットを収集して不正を検知するIDS/IPS。
ネットワークの要所に設置し、IDS/IPSが通過する通信をチェックすることで、不正アクセスや異常なパターンなどを検出する。ネットワーク型IDS/IPS(NIDS/NIPS)はトラフィック量が処理能力を超えるとパケットの取りこぼし等が発生する。
1-4 ホスト型IDS/IPS(HIDS/HIPS)
ホスト型IDS/IPS(HIDS/HIPS)は下図の様に、監視対象のホストにインストールして、ホストが出力するログインログや、リソースへのアクセスログ、サーバーソフトウェアの動作ログなどを監視して異常な動作を検出する。
この方式は、確実な検知ができる一方で、ホストの処理に影響を与える。
基幹業務を担うサーバー上などで、ホスト型IDS/IPSを稼働させると、処理能力が低下する可能性もある。
1-5 攻撃の検知方法
IDS/IPSが攻撃を検知する検知方式は、主に以下の2つ。
・シグネチャ型
・アノマリ型
◆シグネチャ型
シグネチャ型は、不正侵入を行うような攻撃データを、シグネチャとしてデータベースに登録し、一致したネットワークパケット(データ)を遮断する。
この方式はウィルス対策ソフトのパターンマッチングと同様。
そのため、最新のシグネチャに更新をしないと、最新の攻撃を検知できない可能性がある。
シグネチャは、IDS/IPS装置のベンダーから提供され、シグネチャを細心に保つように運用する。
◆アノマリ型
アノマリ型は、まずシステムやネットワークにおける、通常の挙動パターンを学習後、正常とは異なるふるまいを検知し、当該ネットワークパケットを遮断する。
現在のIDS/IPSでは、シグニチャ型とアノマリ型を組み合わせて検出制度を高めていることも多い。
