侵入検知システム(IDS)はどのように機能しますか?私はそれを理解しているように、彼らはネットワークトラフィックを監視していますが、彼らは正確に何を探していますか?通常の活動と侵入をどのように区別できますか?
通常、IDSにはネットワークベースとホストベースの2種類があり、これらはシグネチャまたは統計応答タイプです。
Signature IDSはシンプルで高速で、簡単に更新できます。通常、ベンダーはシグネチャファイルを提供します-ウイルス対策ベンダーがウイルスシグネチャを提供する方法と同様です。このため、ほとんどのIDSは署名認識を使用しています。欠点は、既存の攻撃と一致するシグネチャがない限り、新しい攻撃を識別しないことです。
統計またはヒューリスティックIDS「正常」または通常のトラフィックがどのように見えるかを学習し、正常でないものについて警告します。これは、新しい攻撃を発見するのに優れていることを意味しますが、最初にインストールして定期的に新しいサーバー、サービスの実装、および新しいトラフィックタイプまたはボリュームが予想される場合は、学習期間を必要とします。
ネットワークベースのIDSは通常、組織の境界で実装され、組織に入る(および場合によっては出る)すべてのトラフィックを可視化します。トラフィックに悪意のある可能性があることが示されている場合、トラフィックはログに記録されるか、応答システムまたはユーザーにフラグが立てられます。
大規模な組織では、さまざまな有効なトラフィックタイプの量が非常に多くなる可能性があり、トラフィックタイプは時間の経過とともに変化する可能性があるため、境界ネットワークベースのIDSの継続的な構成と調整は多くのリソースを消費する可能性があります。このため、大企業の大半は、これを多くの組織にサービスを提供するベンダーに外部委託しています。これらのベンダーは、発生している攻撃の可視性が向上し、チューニングと応答におけるスケールの利点があり、すべてのクライアントのシグネチャを一度に更新できます。
ホストベースのIDSは、通常、特定の高価値サーバーに対して社内で実装されます。トラフィックのタイプと負荷は通常、はるかに低く予測可能であるため、リソース要件は通常低くなります。
この質問 -異常に基づく(統計)IDSについての議論もご覧ください。
ウィキペディアは良いスタートを切っています この質問への回答について。
抜粋:
すべての侵入検知システムは、次の2つの検出手法のいずれかを使用します。
統計異常に基づくIDS:
統計異常ベースのIDSは、通常のネットワークトラフィック評価に基づいてパフォーマンスベースラインを確立します。次に、現在のネットワークトラフィックアクティビティをこのベースラインにサンプリングして、ベースラインパラメータ内にあるかどうかを検出します。サンプリングされたトラフィックがベースラインパラメータの範囲外である場合、アラームがトリガーされます。
署名ベースのIDS:
ネットワークトラフィックは、シグネチャと呼ばれる事前設定された事前に決定された攻撃パターンについて調べられます。今日の多くの攻撃には明確なシグネチャがあります。優れたセキュリティ慣行では、これらのシグネチャのコレクションを絶えず更新して、新たな脅威を軽減する必要があります。