情報セキュリティ対策
侵入検知システム (IDS)
侵入検知システム (IDS:Intrusion Detection System)は,通信回線を監視しネットワークやホストシステムへの侵入を検知して通報するシステムである .
- 侵入の検知
侵入の検知アルゴリズムには,次の方法がある.
- 不正検出(Misuse detection)
あらかじめ登録されたシグネチャと呼ばれる侵入手口のパターンと照合することにより検出する手法である.既知の侵入手口を使った攻撃のみ検出することができる.
- 異常検出(Anomaly detection)
通常とは異なる振る舞いを検出する方法であり,未知の手法による攻撃も発見することができる.ログイン時刻や使用コマンド,ネットワークトラフィックの状況などが判断基準となる.
IDS におけるイベントの検出に関して,次の誤検知状態がある.
- False Positive
正常データを不正データと判断する.
- False Negativebr
不正データを検知できない.
検出すべきイベントを取りこぼさず,本当に検出すべきイベントを余計なイベントの中に埋もれさせないよう,検出イベント中のこれらの割合を低く抑えることが重要となる.
- IDS の分類
- ネットワーク型 IDS(NIDS)
ネットワーク上のパケットを監視し,不正アクセスの有無を監視する.比較的簡単に導入することができ,リアルタイムに攻撃を検出する.
- ホスト型 IDS(HIDS)
対象ホストにインストールし,ホストを監視する. OS や AP が出力するログ・ファイルを監視したり,ホストにあるファイルの不正改ざんを検知する.
- ネットワーク型 IDS
ネットワーク上に流れる不正なデータ・パターンを識別して不正アクセスを検知する.
不正データや攻撃手法の検知パターン(シグネチャ)を用意し,ネットワーク上のパケットとシグネチャを比較することで不正アクセスを検知する.
- 検知ルール
- アクセス・ルールの適用
- アクセス数のしきい値の設定
- セキュリティ・ポリシィの適用
- 接続ポートの制限
- telnetによるリモート・メンテナンスの禁止
- ネットワーク型 IDS の配置形態
- ファイアウォールの外側に配置
外部からの不正アクセスを検知
- 公開セグメントに配置
フィルタリング・ルールを通過したパケットを検査
- 内部 LAN 上の配置
内部 LAN からの不正アクセスを監視
- ネットワーク・セグメント間に配置
ネットワーク間の通信を監視
- ホスト型 IDS
ホスト型 IDSは,監視の対象とするホストに直接導入し,主に次のような事象を監視する.あらかじめ設定された特定の変化やイベントを検知すると,管理者への通知といった特定の動作を行う.
- ホストが受信したパケット
- ホストが出力するイベントやログ情報
- ホストのファイルの変更
- ホストのシステム・コールの呼出し