1.IDS/IPSとは?
IDS(Intrusion Detection System)はOS/ミドルウェアの脆弱性に対する攻撃を検知します。入口対策に分類され、ネットワークを流れるパケットを解析し、不正アクセスと判断するとシステム管理者に通知します。
IPS(Intrusion Prevention System)はIDSが持つ攻撃を検知する機能固定ページ一覧だけでなく、攻撃を遮断する機能を加えたものです。
IDS/IPSで検知・遮断できる攻撃の代表例としては、SYNフラッド攻撃やワーム等があります。IDS/IPSと同様の入口対策として、ファイアウォール、WAFがあります。ファイアウォールやWAFとの違いはこちらから。
2.攻撃の検知方法
ここでは、IDS/IPSがどのように通信を制御するか具体的に見ていきたいと思います
IDSが通信を「不正アクセス」と判断する方法は2つあります。
1つ目は「シグネチャ型」という、不正アクセスを定義した通信パターンとパケットの中身を照合し、シグネチャと合致する通信パターンがパケットに含まれていた場合に不正アクセスとみなす方法です。この不正アクセスを定義した通信パターンを記録したファイルを「シグネチャ」と呼びます。「シグネチャ型」はブラックリスト方式であり、シグネチャが作られていない不正アクセスを検知できません。
2つ目は「アノマリ型」という、正常の通信パターンをあらかじめ定義しておき、それ以外の通信を全て不正アクセスとみなす方法です。「正常な通信パターン」を定義するには、その組織の通信の特徴を把握して置く必要があります。「アノマリ型」はホワイトリスト方式であり、業務形態や環境が変化した場合は都度見直す必要があります。
3.IDS/IPSの限界
前述したようにIDS/IPSは、トラフィックやパケットを解析し、OS/ミドルウェアレイヤへの脆弱性をついた攻撃を検知・遮断します。ただし、難読化という、悪意のあるコードを隠すために文字列をエンコードされている攻撃の場合、シグネチャとのパターンマッチングができないため、このような攻撃の検知は難しいです。これらの攻撃を防御するためには、WAFの導入が効果的です。