こんにちは!
今日もCNDの勉強をしていきます。
今回は、「IDS/IPSの分類」についてまとめていきます
なお、今回からはIDSと記載していきます!
IDSの分類
IDSは下記に基づいて分類されます。
・アプローチ
・保護されるシステム
・構造
・ソースデータ
・ふるまい
・分析時間
アプローチベースのIDS
シグネチャベース
不正使用の検知とも呼ばれ、ネットワーク内のパケットのパターンを分析しシグネチャ(事前設定)と比較します。
最小の誤報アラートで攻撃を検知できることや特定のツールやテクニックでの特定が可能となる利点に対し、既知の脅威のみしか検知できないという欠点もあります。
アノマリーベース
ネットワークパターンを評価する異常アクティビティ検知の方法です。大気幅の使用、ログオン試行、プロセッサの使用量を監視し、統計データを作成します。
利点は、取得した情報がシグネチャとして利用できることや明確な詳細情報なしでも攻撃の兆候を検知することが可能な点です。欠点は、動作パターンの特徴を明確にするのにシステムイベントが大量に必要な点と誤報が発生する可能性がある点です。
保護されるシステム
対象がネットワーク全体であるなら、ネットワーク型IDSのNIDSを選択し、一台の機器を監視するなら、ホスト型のHIDSを選択します。
応用を効かせる場合は、ハイブリットという選択も挙げられます
構造
ネットワークの形や保護するシステムに対して、分散システムにするか一元管理システムにするかを選択します
ソースデータ
パフォーマンスの問題やセキュリティ侵害、アプリケーションの欠陥を検知するには、監査証跡を使用した侵入検知を行います。また、IDSの周知の攻撃を検知するには、ネットワークパケットを使用した侵入検知を行います。
ふるまい
侵入を検知して、検知された侵入に対応するのがアクティブIDS、検知のみを行うのがパッシブIDSといわれています。
分析時間
事象の発生からイベントの分析までに経過した時間によって以下の分類を行います。
・インターバルベース
検知された侵入の分析をオフラインで行い、侵入検知に関する情報は監視ポイントから分析ポイントから分析エンジンに継続的に送られるわけでなく、単に保存して送られます。
・リアルタイムベース
検知された侵入の分析をオンザフライで行い、検知情報が監視ポイントから分析エンジンに継続的に送られます
まとめ
ここまでです
IDSが色々な方法、種類があるということを学ぶことができましたね!!
ここまで読んでいただきありがとうございました。