ネットワークを保護するための侵入検知システム(IDS)には、さまざまな種類があります。しかし、なぜIDSが必要なのでしょうか?昨今、インターネット上には様々な個人情報や業務データが存在します。したがって、IDSは、このデータが悪意のある活動やポリシー違反から安全であることを確認します。IDSは、疑わしい活動に対してユーザーに警告を発します。
侵入攻撃は世界的な規模で多発しています。また、ハッカーはシステムに侵入するために新しいテクニックを試みています。IDSは、こうした攻撃を特定し、システムを正常に戻すための措置を即座に講じるツールである。また、IDSはネットワークトラフィックを検知し、侵入を発見した場合にはアラームを送信します。
侵入検知システム(IDS)とは?
侵入検知システムとは、ネットワークトラフィックを監視し、ネットワークへの侵入や不要な活動を検知するソフトウェアまたはシステムです。IDSは、ネットワークをスキャンして、誰かがネットワークに不正に侵入しようとしていることを発見します。言い換えれば、IDSはネットワークのトラフィックを監視し、ネットワークへの侵入を特定します。
侵入検知システムが適切に設定されていれば、次のようなことが可能になります。
- インバウンドとアウトバウンドのネットワークトラフィックを監視します。
- ネットワーク内のパターンを継続的に分析します。
- ネットワークへの不要な侵入や活動を検知したら、すぐにアラームを送信します。
組織は、IDSをシステムに適切に導入する必要があります。IDSは、ネットワーク上の通常のトラフィックを分析する必要があります。しかし、IDSが正常なトラフィックを適切に分析しない場合、侵入の際に誤ったアラームを送信してしまう可能性があります。
侵入検知システムの種類
侵入検知システムの種類は、様々な技術や手法に基づいて分類されています。
ネットワーク侵入検知システム(NIDS)
ネットワーク侵入検知システムは、特定の計画されたポイントでネットワーク全体に設定されます。NIDSは、すべてのデバイスからネットワーク上のトラフィックを監視します。同様に、サブネット全体を通過するトラフィックを調査し、パケットのメタデータとコンテンツで検証します。NIDSがネットワークへの侵入を検知した場合、そのネットワークの管理者に警告が送られる。NIDSの最大の利点は、ファイアウォールが設置されている場所に設置すれば、誰かがファイアウォールを攻撃しようとしていることを検知できることである。つまり、NIDSを使えば、ファイアウォールはポリシー違反から守られることになる。
ホスト侵入検知システム(HIDS)
組織は、独立したネットワークデバイスにホスト侵入検知システム(HIDS)をインストールします。しかし、HIDSは、デバイスの送受信トラフィックのみを検査します。HIDSは、デバイス上の疑わしい活動を検出し、管理者に警告を発します。HIDSはまた、システムファイルが置き忘れられていないかどうかをチェックするために、現在のファイルシステムの画面キャプチャを取り、以前のファイルシステムの画面キャプチャと照合する。このファイルシステムには、ネットワークトラフィックの解析情報が保存されている。例えば、ファイルが置き忘れたり、変更された場合、管理者に警告を送ります。
プロトコルベースIDS(PIDS)
組織は、サーバーのフロントエンドにプロトコルベースの侵入検知システムを設置する。これは、サーバーとユーザー間のプロトコルを解釈する。PIDSは、HTTPSサーバーを定期的に監視し、ウェブの安全を確保します。同様に、プロトコルに関連するHTTPサーバーも許可します。
アプリケーションプロトコルベースIDS(APIDS)
PIDSはサーバーのフロントエンドに設定されることを見てきたように、APIDSはサーバーのグループ内に設定される。同様に、APIDSはサーバーのグループ内に設置される。サーバー内のアプリケーションとの通信を解釈し、侵入を検知する。
ハイブリッド侵入検知システム
ハイブリッド侵入検知システムは、その名の通り、2つの異なるIDSを混ぜ合わせたものです。ハイブリッドシステムは、ホストエージェントとネットワーク情報を組み合わせることによって、ネットワークシステムを開発します。結論として、ハイブリッドシステムは、他のIDSと比較して、より応答性が高く、効果的です。
侵入検知システムの種類と方法
悪意のある攻撃や侵入を検知する方法として、主に2つの侵入検知方法があります。しかし、この2つの方法は、それぞれ異なる目的を持ち、似て非なるものです。
シグネチャに基づく侵入検知手法
IDSは、ネットワークトラフィックを検査し、攻撃パターンを検出するために、シグネチャーベースの侵入検知方法を開発しました。例えば、侵入を特定するために、ネットワークトラフィックをログデータで検証します。この方法で侵入が検出されると、IDSソリューションはその侵入のシグネチャを作成し、リストに追加します。検出されるパターンはシーケンスと呼ばれ、これらのシーケンスはネットワーク上の特定のバイト数または0と1の集合です。しかし、シグネチャという形でシステム内に存在するパターンを持つ攻撃を検出することは容易である。しかし、シグネチャが作成されていない新しい攻撃を検出することは困難である。
異常値による侵入検知方法
これまで見てきたように、シグネチャベースの検知方法では、未知のマルウェアや新しいマルウェアの攻撃を検知することは困難です。そのため、シグネチャベースの検知手法では発見が困難な未知の攻撃やポリシー違反などを発見するために、アノマリーベースの侵入検知手法が利用されています。
しかし、新しい侵入手法やマルウェアは急速に増加しています。本手法では、機械学習を用いて活動モデルを作成します。この手法では、モデルにはない受信パターンを検出した場合、そのパターンを悪意のあるパターンと宣言します。結論として、アノマリーベースの検知システムは、シグネチャーベースの手法と比較して優れている。
ハイブリッド検出方式
ハイブリッド方式は、シグネチャーとアノマリーベースの侵入検知方法を併用するものです。しかし、ハイブリッド検知システムを開発する主な理由は、より少ないエラーでより多くの潜在的な攻撃を特定することです。
トップ侵入検知システムツール
ソーラーウインズは、HIDSおよびNIDSシステムの実装を前提にこのツールを設計しました。これは、ネットワークからリアルタイムのログデータを収集します。同様に、SEMは、侵入を検知した場合、自動的にアカウントを無効化し、ネットワークに接続されているデバイスを切断することができる、カスタマイズ可能な侵入検知方法を構築することが一般的です。
無料トライアル。30日間
マカフィー
マカフィーは、悪意のある活動をリアルタイムで特定するためにIDSを設計しました。シグネチャとアノマリーの両方の方法を用いて、エミュレーション技術で脅威を特定します。そのため、マカフィーはスケーラブルなアプリケーションです。
無料トライアル。30日間
スリカタ
Suricataは、フリーの侵入検知ツールです。ネットワーク侵入検知システム(NIDS)をベースとしたオープンソースのツールです。そのため、SURICATAを使用して、特定された脅威や悪意のある活動をリアルタイムで検出します。既知の脅威や侵入を識別するために、シグネチャーベースの方法を使用しています。
ブルミラ
ブルミラは、クラウドサービスやオンプレミスデバイスにおける脅威や悪意のある行為を検知するために開発されました。ITインフラを継続的に監視し、あらゆる侵入を検出することができます。同様に、進行中の攻撃を検知し、攻撃を停止させるSIEMプラットフォームでもあります。
無料トライアル。14日間
シスコ・ステルスウォッチ
シスコはステルスウォッチをNIDSとHIDSで設計しました。さらに、ウィンドウズ、リナックス、マックOSのオペレーティングシステムと互換性があります。シスコ ステルスウォッチは侵入検知システムであり、ビジネス要件を満たすためにエージェントを必要としない。しかし、機械学習を使用してパターンのベースラインを作成するため、許容範囲内です。このツールの最大の特徴は、暗号化されたネットワークを解読することなく、侵入や疑わしい活動を検出できることです。
無料トライアル。14日間
結論
侵入検知システム(IDS)は、ネットワークを保護するための非常に重要なツールです。IDS ツールには、さまざまな方式のものがあります。例えば、IDSは、ネットワークへの侵入や悪意のある活動を検知し、管理者に警告を発します。しかし、2つの侵入検知方法の助けを借りて、ネットワーク内の既知および未知の脅威を検出することができます。また、ネットワークトラフィックを監視し、有害な活動やポリシー違反がないかどうかを確認します。結論として、このシステムは攻撃を防ぐことはできませんが、疑わしい活動をセキュリティの専門家に警告することができます。
