logo

TechCodeview

侵入検知システム (IDS)

侵入検知システム (IDS) は、ネットワーク トラフィックを維持して異常なアクティビティを探し、アクティビティが発生するとアラートを送信します。侵入検知システム (IDS) の主な役割は、異常の検出と報告ですが、特定の侵入検知システムは、悪意のあるアクティビティや異常なトラフィックが検出された場合にアクションを実行できます。この記事では、侵入検知システムに関するあらゆる点について説明します。

侵入検知システムとは何ですか?

侵入検知システム (IDS) と呼ばれるシステムは、悪意のあるトランザクションのネットワーク トラフィックを監視し、それが検出されるとすぐにアラートを送信します。これは、ネットワークまたはシステムに悪意のあるアクティビティやポリシー違反がないかをチェックするソフトウェアです。それぞれの違法行為や違反は、多くの場合、SIEM システムを使用して一元的に記録されるか、行政に通知されます。 IDS は、ネットワークまたはシステムの悪意のあるアクティビティを監視し、内部関係者を含むユーザーからの不正アクセスからコンピュータ ネットワークを保護します。侵入検知器の学習タスクは、「悪い接続」 (侵入/攻撃) と「良好な (通常の) 接続」を区別できる予測モデル (つまり、分類器) を構築することです。



10の6乗

侵入検知システム(IDS)の仕組み

  • IDS (侵入検知システム) モニター の交通 コンピュータネットワーク 不審なアクティビティを検出します。
  • ネットワークを流れるデータを分析して、異常な動作のパターンや兆候を探します。
  • IDS は、ネットワーク アクティビティを事前定義されたルールおよびパターンのセットと比較して、攻撃または侵入を示す可能性のあるアクティビティを特定します。
  • IDS は、これらのルールまたはパターンのいずれかに一致するものを検出すると、システム管理者にアラートを送信します。
  • システム管理者はアラートを調査し、損害やさらなる侵入を防ぐための措置を講じることができます。

侵入検知システム(IDS)の分類

侵入検知システムは5つのタイプに分類されます。

  • ネットワーク侵入検知システム (NIDS): ネットワーク侵入検知システム (NIDS) は、ネットワーク上のすべてのデバイスからのトラフィックを検査するために、ネットワーク内の計画されたポイントにセットアップされます。サブネット全体で通過するトラフィックを監視し、サブネット上で通過するトラフィックを既知の攻撃のコレクションと照合します。攻撃が特定されるか、異常な動作が観察されると、管理者にアラートを送信できます。 NIDS の例は、NIDS をサブネットにインストールすることです。 ファイアウォール 誰かが解読しようとしているかどうかを確認するために位置が特定されます。 ファイアウォール
  • ホスト侵入検知システム (HIDS): ホスト侵入検知システム (HIDS) は、ネットワーク上の独立したホストまたはデバイス上で実行されます。 HIDS はデバイスからの受信パケットと送信パケットのみを監視し、不審なアクティビティまたは悪意のあるアクティビティが検出された場合は管理者に警告します。既存のシステム ファイルのスナップショットを取得し、以前のスナップショットと比較します。分析システム ファイルが編集または削除された場合、調査を求めるアラートが管理者に送信されます。 HIDS の使用例は、レイアウトの変更が想定されていないミッションクリティカルなマシンで見られます。
侵入検知システム (IDS)

侵入検知システム (IDS)

  • プロトコルベースの侵入検知システム (PIDS): プロトコルベースの侵入検知システム (PIDS) は、サーバーのフロントエンドに常駐し、ユーザー/デバイスとサーバー間のプロトコルを制御および解釈するシステムまたはエージェントで構成されます。定期的に監視することで Web サーバーのセキュリティを確保しようとしています。 HTTPSプロトコル ストリームと関連するものを受け入れる HTTPプロトコル 。 HTTPS は暗号化されていないため、Web プレゼンテーション層に即座に入る前に、このシステムは HTTPS を使用するまでの間にこのインターフェイスに常駐する必要があります。
  • アプリケーション プロトコル ベースの侵入検知システム (APIDS): アプリケーション プロトコルベースの侵入検知システム (APIDS) は、通常、サーバーのグループ内に存在するシステムまたはエージェントです。アプリケーション固有のプロトコルでの通信を監視および解釈することで、侵入を特定します。たとえば、これにより、ミドルウェアが Web サーバー内のデータベースとやり取りするときに、SQL プロトコルがミドルウェアに対して明示的に監視されます。
  • ハイブリッド侵入検知システム: ハイブリッド侵入検知システムは、侵入検知システムに対する 2 つ以上のアプローチを組み合わせて作成されます。ハイブリッド侵入検知システムでは、ホスト エージェントまたはシステム データがネットワーク情報と結合されて、ネットワーク システムの全体像が作成されます。ハイブリッド侵入検知システムは、他の侵入検知システムと比較してより効果的です。 Prelude はハイブリッド IDS の一例です。

侵入検知システムの回避技術

  • 断片化: パケットをフラグメントと呼ばれる小さなパケットに分割するこのプロセスは、 断片化 。これにより、マルウェアの署名が存在しないため、侵入を特定することができなくなります。
  • パケットエンコーディング: Base64 や 16 進数などの方法を使用してパケットをエンコードすると、署名ベースの IDS から悪意のあるコンテンツを隠すことができます。
  • トラフィックの難読化: メッセージの解釈をより複雑にすることで、難読化を利用して攻撃を隠し、検出を回避できます。
  • 暗号化: データの整合性、機密性、データ プライバシーなどのいくつかのセキュリティ機能は、 暗号化 。残念ながら、セキュリティ機能はマルウェア開発者によって攻撃を隠し、検出を回避するために使用されます。

IDSのメリット

  • 悪意のあるアクティビティを検出します。 IDS は不審なアクティビティを検出し、重大な損害が発生する前にシステム管理者に警告します。
  • ネットワークのパフォーマンスを向上させます。 IDS は、ネットワーク上のパフォーマンスの問題を特定し、ネットワーク パフォーマンスを向上させるために対処できます。
  • コンプライアンス要件: IDS は、ネットワーク アクティビティを監視し、レポートを生成することで、コンプライアンス要件を満たすのに役立ちます。
  • 洞察を提供します: IDS はネットワーク トラフィックに関する貴重な洞察を生成し、それを使用して弱点を特定し、ネットワーク セキュリティを向上させることができます。

IDSの検出方法

  • 署名ベースの方法: シグネチャベースの IDS は、ネットワーク トラフィック内のバイト数、1 の数、0 の数などの特定のパターンに基づいて攻撃を検出します。また、マルウェアが使用する既知の悪意のある命令シーケンスに基づいて検出します。 IDS で検出されたパターンはシグネチャと呼ばれます。シグネチャベースの IDS は、システム内にすでにパターン (シグネチャ) が存在する攻撃は容易に検出できますが、パターン (シグネチャ) が不明なため、新たなマルウェア攻撃を検出することは非常に困難です。
  • 異常ベースの方法: 新しいマルウェアが急速に開発される中、異常ベースの IDS は未知のマルウェア攻撃を検出するために導入されました。異常ベースの IDS では、機械学習を使用して信頼できるアクティビティ モデルを作成し、到来するものはすべてそのモデルと比較され、モデル内に見つからない場合は疑わしいと宣言されます。機械学習ベースの方法は、アプリケーションやハードウェア構成に従ってモデルをトレーニングできるため、シグネチャベースの IDS と比較してより一般化された特性を持っています。

IDS とファイアウォールの比較

IDS とファイアウォールはどちらもネットワーク セキュリティに関連していますが、IDS はネットワーク セキュリティとは異なります。 ファイアウォール ファイアウォールは侵入を阻止するために外部から侵入を監視します。ファイアウォールはネットワーク間のアクセスを制限して侵入を防ぎ、ネットワーク内部からの攻撃の場合は通知しません。 IDS は、侵入の疑いが発生するとそれを説明し、アラームを発します。



IDSの配置

  • IDS を配置する最も最適かつ一般的な位置は、ファイアウォールの内側です。ただし、ネットワークを考慮するとこの位置は異なります。 「ファイアウォールの内側」に配置すると、IDS は受信ネットワーク トラフィックの可視性を高めることができ、ユーザーとネットワーク間のトラフィックを受信しなくなります。ネットワーク ポイントのエッジは、ネットワークにエクストラネットへの接続の可能性を提供します。
  • IDS がネットワークのファイアウォールを越えて配置されている場合、インターネットからのノイズから防御したり、ポート スキャンやネットワーク マッパーなどの攻撃から防御したりすることになります。この位置にある IDS は、レイヤー 4 ~ 7 を監視します。 OSIモデル そして、署名ベースの検出方法を使用します。ファイアウォールを通過した実際の侵害ではなく、試みられた侵害の数を表示すると、誤検知の量が減るため、より効果的です。また、ネットワークに対する成功した攻撃を発見するまでの時間も短縮されます。
  • ファイアウォールと統合された高度な IDS を使用して、ネットワークに侵入する複雑な攻撃を阻止できます。高度な IDS の機能には、ルーティング レベルとブリッジ モードでの複数のセキュリティ コンテキストが含まれます。これらすべてにより、コストと運用の複雑さが軽減される可能性があります。
  • IDS を配置するもう 1 つの選択肢は、ネットワーク内です。この選択により、ネットワーク内の攻撃または不審なアクティビティが明らかになります。ネットワーク内のセキュリティを認識しないと、ユーザーがセキュリティ リスクを引き起こしたり、システムに侵入した攻撃者が自由に歩き回ったりする可能性があるため、有害です。

結論

侵入検知システム (IDS) は、企業がネットワークへの不正アクセスを検知して防止できる強力なツールです。 IDS はネットワーク トラフィック パターンを分析することで、不審なアクティビティを特定し、システム管理者に警告できます。 IDS は、あらゆる組織のセキュリティ インフラストラクチャに貴重な追加機能を提供し、洞察を提供し、ネットワーク パフォーマンスを向上させます。

侵入検知システムに関するよくある質問 - FAQ

IDSとIPSの違いは?

IDS は侵入を検出すると、ネットワーク管理に警告のみを発します。 侵入防御システム(IPS) 悪意のあるパケットが宛先に到達する前にブロックします。

10/60

IDS 導入における主な課題は何ですか?

偽陽性と偽陰性は IDS の主な欠点です。偽陽性はノイズを増大させ、侵入検知システム (IDS) の効率を著しく損なう可能性があります。一方、偽陰性は、IDS が侵入を見逃して正当であるとみなした場合に発生します。



IDS は内部関係者の脅威を検出できますか?

はい、侵入検知システムは脅威を検知できます。

IDS における機械学習の役割は何ですか?

を使用することで 機械学習 、高い検出率と低い誤警報率を達成できます。