NIDS(ネットワーク侵入検知システム)およびNIPS(ネットワーク侵入防止システム)-ChandaraNIDS(ネットワーク侵入検知システム)およびNIPS(ネットワーク侵入防止システム)-Chandara)

author
0 minutes, 21 seconds Read
X

プライバシー&クッキー

本サイトはクッキーを使用しています。 継続することにより、あなたはそれらの使用に同意します。 Cookieの制御方法など、詳細についてはこちらをご覧ください。

広告

NIDSおよびNIPS(動作ベース、署名ベース、異常ベース、ヒューリスティック)

侵入検知システム(IDS)は、サーバーまたはネットワークデバイス上で実行され、ネットワークアクティビティを監視および追跡するソフトウェアです。 IDSを使用することにより、ネットワーク管理者は、不正なアクセス試行を示す可能性のある不審な動作をネットワークアクティビティを監視するよ IDSsは、システムログを評価し、疑わしいネットワークアクティビティを確認し、セキュリティ設定に違反しているように見えるセッシ

IDSsはファイアウォールで販売することができます。 ファイアウォール自体は多くの一般的な攻撃を防ぐことができますが、通常、ネットワーク全体を監視するインテリジェンスやレポート機能はありません。 IDSは、ファイアウォールと組み合わせて、ファイアウォールとの反応ポスチャとIDSとの予防ポスチャの両方を可能にします。

イベントに応答して、IDはシステムを無効にしたり、ポートをシャットダウンしたり、セッションを終了したり、欺瞞(ハニーポットにリダイレクト)したり、ネットワー 侵入を停止または防止するためのアクティブな手順を実行するネットワークベースのIDSは、ネットワーク侵入防止システム(NIPS)と呼ばれます。 このモードで動作する場合、それらはアクティブなシステムと見なされます。

パッシブ検出システムはイベントをログに記録し、通知に依存して管理者に侵入を警告します。 攻撃を回避または無視することは、無効な攻撃を安全に無視できる受動的な応答の例です。 パッシブシステムの欠点は、侵入検知と管理者が行った修復手順の間の遅れです。

IDSsのような侵入防止システム(IPS)は、データと動作を収集して識別するのと同じプロセスに従い、アクティビティをブロック(防止)する機能が追加され

ネットワークベースのIDSは、異常な数やFTPサーバーなどの特定のサーバーまたはサービス宛ての要求などのネットワークパターンを調べます。 ネットワークIDSシステムは、外部トラフィックを監視するために、ファイアウォール、ネットワークタップ、spanポート、またはハブなどにできるだけ先行して配置する必要があります。 一方、ホストIDSシステムは、内部で生成されたイベントをより効率的に監視できる個々のホストに配置されます。

ネットワークIDとホストIDの両方を使用すると、環境のセキュリティが強化されます。

Snortは、ネットワーク侵入検知および防止システムの一例です。 これは、IPネットワーク上のトラフィック分析とパケットログを行 Snortは、柔軟なルールベースの言語を使用して、収集または通過するトラフィックとモジュール式の検出エンジンを記述します。

ネットワークベースの侵入検知は、ネットワークトラフィックのみに基づいて、不正、不正、異常な動作を識別しようとします。 キャプチャされたデータを使用して、ネットワークIDは不審なトラフィックを処理し、フラグを立てます。 侵入防止システムとは異なり、侵入検知システムはネットワークトラフィックを積極的にブロックしません。 ネットワークIDSの役割は受動的であり、収集、識別、ログ記録、警告のみです。

ホストベースの侵入検知システム(HIDS)は、特定のデバイス上で不正、不正、異常な動作を識別しようとします。 HIDには、通常、各システムにインストールされたエージェントが含まれ、ローカルOSとアプリケーションアクティビティを監視し、警告します。 インストールされたエージェントは、署名、ルール、ヒューリスティックの組み合わせを使用して、不正なアク ホストIDの役割は受動的であり、収集、識別、ログ記録、および警告のみです。 TripwireはHIDの一例です。

現在、IDには完全に成熟したオープンスタンダードはありません。 Internet Engineering Task Force(IETF)は、新しいインターネット標準を開発する機関です。 彼らは、IDSアラートの共通形式を開発するためのワーキンググループを持っています。

次のタイプの監視方法を使用して、侵入や悪意のある動作を検出することができます:署名、異常、ヒューリスティックおよびルールベースの監視。

署名ベースのIDSは、ネットワーク上のパケットを監視し、既知の悪意のある脅威からの署名または属性のデータベースと比較します。 これは、ほとんどのウイルス対策ソフトウェアがマルウェアを検出する方法に似ています。 問題は、野生で発見された新しい脅威と、その脅威があなたのIDに適用されていることを検出するための署名との間に遅れがあることです。

ネットワークIDS署名は、トラフィックで探したいパターンです。 署名は、非常に単純な–ヘッダフィールドの値をチェックする–から、実際に接続の状態を追跡したり、広範なプロトコル分析を実行することができる非常に複雑な署名までの範囲です。

異常ベースのIDSは、攻撃を示す可能性のあるネットワークまたはシステム上の異常(標準外のもの)について、進行中のトラフィック、アクティビティ、トラ 異常ベースのIDSは、ネットワークトラフィックを監視し、確立されたベースラインと比較します。 ベースラインは、そのネットワークの”正常”、一般的に使用されている帯域幅の種類、使用されているプロトコル、一般的に相互に接続するポートとデバイスを識別し、ベースラインに異常であるトラフィックが検出されたときに管理者に警告します。

ヒューリスティックベースのセキュリティ監視は、既知の攻撃タイプの初期データベースを使用しますが、ネットワークトラフィックの学習された動作に基づ ヒューリスティックシステムは、アルゴリズムを使用してネットワークを通過するトラヒックを分析します。 ヒューリスティックシステムでは、ネットワーク内の誤検知を防ぐために、より微調整が必要です。

動作ベースのシステムは、異常に高いトラフィック、ポリシー違反などの動作のバリエーションを検索します。 行動の偏差を探すことによって、潜在的な脅威を認識し、迅速に対応することができます。
ファイアウォールアクセス制御ルールと同様に、ルールベースのセキュリティ監視システムは、管理者にルールを作成し、それらのルールが違反したときに取る

• http://netsecurity.about.com/cs/hackertools/a/aa030504.htm
• http://www.sans.org/security-resources/idfaq/
• CompTIAセキュリティ+学習ガイド: 試験SY0-301、エメットDulaneyによる第五版

http://neokobo.blogspot.com/2012/01/118-nids-and-nips.html

Similar Posts

コメントを残す

メールアドレスが公開されることはありません。