不正侵入検知システムを知るSnortでつくる不正侵入検知システム(1)(2/3 ページ)

» 2004年08月10日 10時00分 公開
[早川勇太@IT]

ネットワーク型IDSとホスト型IDS

 IDSはその形態によって分類することができる。IDSが監視する対象によって分類すると、「ネットワーク型(NIDS)」と「ホスト型(HIDS)」に分けられる。

 ネットワーク型のIDSが監視するのは、その名のとおり「ネットワーク」である。例えば、192.168.0.0/24のネットワークを監視するように設定されたIDSであれば、そのネットワークに流れるパケットすべてが監視対象となる。ちなみに Snortは「ネットワーク型」のIDSである。

 ネットワーク型のIDSは、一般的に「ステルスモード」で運用される。ステルスモードとは、NICにIPアドレスを割り振らずに運用する方法である。これにより、外部からIDSを認識することは事実上不可能になる。

 一方、ホスト型のIDSが監視するのは、「IDSが稼働しているコンピュータ自身」である。つまり、IDSが稼働しているコンピュータ以外は監視対象とならない。このタイプのIDSとして有名なのは、「Tripwire」であろう。

ホスト型のIDS(HIDS)は単一のホストのみを対象とするのに対し、ネットワーク型のIDS(NIDS)はネットワーク全体が対象となる ホスト型のIDS(HIDS)は単一のホストのみを対象とするのに対し、ネットワーク型のIDS(NIDS)はネットワーク全体が対象となる

シグネチャ型IDSとアノマリ型IDS

 ここまでは「監視する対象」で分類してきたが、「分析方法」という観点からも分類することができる。その場合、「シグネチャ型」と「アノマリ型」に分類することができる。

 シグネチャ型とは「○○○○の場合は不正アクセスである」といった情報(シグネチャ)と現在のパケットを照らし合わせ、合致した場合に「不正アクセスである」と判断する方法である。

 例えば「パケット中にAAAが含まれていたら不正アクセスである」と定義されたシグネチャがあるとしよう。 IDSはそのシグネチャとパケットを照らし合わせる。もし、そのパケット中にAAAが含まれていた場合、IDSは不正アクセスであると判断し、警告を発する。ちなみにSnortはシグネチャ型のIDSである。

 アノマリ型とは「○○○○という状態が正常である」といった情報を何らかの手段により蓄積しておき(例えば管理者が定義した「正常な状態」において、統計情報を収集する)、それと現在の状況を照らし合わせて、ある一定の閾(いき)値を超えた場合に、「異常である」と判断する方法である。

 例えば、「1秒当たりに10MBの通信量が存在する状態」が平常時であると定義されており、かつ「それを超過した場合異常と見なす」と定義されていた場合、1秒間の通信量が10MBを超えた時点でIDSは異常であると判断し、警告を発する。

Index

Snortでつくる不正侵入検知システム

Page1

IDSとは何か

IDSとファイアウォールは何が違うのか

IDSと誤検知(False PositiveとFalse Negative)


Page2

ネットワーク型IDSとホスト型IDS

シグネチャ型IDSとアノマリ型IDS


Page3

Snortの特徴

Snortに関する情報源


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。