侵入検知システム（IDS）の概要と、その構築型と導入方法

侵入検知システム（IDS）の概要と、その構築型と導入方法

IDS

侵入検知システムであるIDSは、Intrusion Detection Systemの略であり、コンピュータやネットワークに対する不正行為を検出し、通知するためのシステムのことを言います。このIDSのデータ収集方法には、不正検出と異常検出があります。

IDSのデータ収集【不正検知】

不正検出は、あらかじめ登録されたシグネチャと呼ばれる侵入手口のパターンとマッチングさせることにより検出する手法であり、既知の侵入手口を使った攻撃のみ検出することができます。

IDSのデータ収集【異常検知】

一方、異常検出は、通常とは異なる振る舞いを検出する方法を言います。これにより、未知の手法による攻撃も発見することができるのです。ログイン時刻や使用コマンド、ネットワークトラフィックの状況などが判断基準となります。

IDSのデータ収集のタイプ

また、データの収集方法では、2つのタイプに大別することができます。1つは、オペレーティングシステムが記録するログを監査するホスト型。もう1つは、リアルタイムでネットワークトラフィックを監視するネットワーク型システムです。 ネットワーク型をホスト型IDSと比較すると、簡単に導入できる、リアルタイムでハッカーの攻撃を検出することができるといったメリットが挙げられます。ネットワーク型で監視できるIDSの配置場所としては、ファイアウォールの外側、DMZ上、社内ネットワーク上の3つが考えられます。