侵入検知システム。コンピュータ攻撃とその検出のための技術

侵入検知機能は、すべての大企業の情報セキュリティインフラストラクチャに必須の追加機能になりつつあります。侵入検知システム（IDS）が必要かどうかという問題は、情報セキュリティの専門家にとってはもはや問題ではありませんが、特定の組織にそのようなシステムを選択するという問題に直面しています。さらに、そのような製品の高コストは、それらの使用の必要性を正当化するためのより慎重なアプローチを作ります。

この記事では、このクラスのシステムに関する基本的な情報を提供し、組織が侵入検知システムの取得、展開、および保守における従来のミスステップを回避できるようにします。

侵入検知システムの種類

今日、IDSにはいくつかの異なるタイプがあり、データ監視のアルゴリズムとその分析へのアプローチが異なります。各タイプのシステムは、使用の特定の機能、長所と短所に対応しています。

IDSを分類する1つの方法は、IDSが実際に何を制御しているかを理解することに基づいています。すべてのネットワークトラフィックを監視して分析するものもありますネットワークパッケージ、他のものは別々のコンピュータに展開され、侵入の兆候がないかオペレーティングシステムを監視しますが、他のものは、原則として、個々のアプリケーションを監視します。

ネットワークセグメントを保護するOWS

このクラスのIDSは、現在最も一般的な商用製品です。システムは通常、さまざまなネットワークセグメントのネットワークトラフィックを分析し、攻撃の可能性に関するメッセージを集中管理コンソールに送信する、いくつかの専用サーバーで構成されています。 IDSが使用するサーバーでは他のアプリケーションは実行されないため、特別な手段を含め、攻撃から保護できます。それらの多くはステルスモードで動作できるため、攻撃者を検出してネットワーク上の位置を特定することは困難です。

利点：

いくつかの適切に配置されたシステムは制御できます大規模なネットワーク;

それらの展開はほとんど影響を与えません既存のネットワーク..。このようなIDSは通常、ネットワークにサービスストリームをロードせずに、ネットワークトラフィックを傍受するパッシブデバイスです。

システムはそれ自体への攻撃から非常に保護することができ、さらに、そのノードの一部を攻撃者に見えなくすることができます。

短所：

ネットワーク負荷が高いときに開始された攻撃を認識できません。一部の開発者は、より高速なハードウェアでIDSを実装することにより、この問題を解決しようとしています。さらに、パケットを迅速に分析する必要があるため、開発者は最小限のコンピューティングリソースで攻撃を検出する必要があり、検出効率が大幅に低下します。

IDSの利点の多くは、小さなセグメント（通常、サーバーごとに1つの高速イーサネットリンク）であり、同じスイッチがサービスを提供するサーバー間に専用リンクを提供します。ほとんどのスイッチはユニバーサル管理ポートを備えていないため、IDSセンサーの監視範囲が狭くなります。このようなスイッチでは、多くの場合、単一のポートがスイッチを通過するすべてのトラフィックを反映することはできません。

暗号化された情報を分析できません。

侵入率を分析せずに、開始された攻撃を報告します。

個々のサーバーを保護するOWS

これらのシステムは、プロセスがインストールされている特定のサーバー上のプロセスのアクティビティを分析することによって機能します。彼らが管理するサーバーに関する情報を収集します。これにより、IDSはサーバーのアクティビティを詳細に分析し、サーバーのオペレーティングシステムで悪意のあるアクティビティを実行しているユーザーを特定できます。

このクラスの一部のIDSには、セキュリティ管理者コンソールに要約されている、起こりうる攻撃に関する一元化されたレポートを作成することにより、サーバーのグループを管理する機能があります。他のものは、ネットワーク管理システムと互換性のあるメッセージを生成します。

利点：

特定のサーバーにローカライズされたイベントを認識しているため、ネットワークセグメントを保護するIDSを検出しない攻撃を検出します。

を使用してネットワーク上で操作する
データの暗号化。情報が消費者に送信される前にサーバー上で明確な形式である場合。

これらはスイッチドネットワークで機能します。

短所：

情報収集メカニズムは、監視対象の各サーバーにインストールして維持する必要があります。

準備された敵によって攻撃され、ブロックされる可能性があります。

インストールされているサーバーが受信したネットワークパケットのみを「見る」ため、ネットワーク全体の状況を制御することはできません。

サービス拒否攻撃の検出と対抗の難しさ。

制御するサーバーのコンピューティングリソースを使用するため、運用の効率が低下します。

アプリケーション保護に基づくOWL

これらのシステムは、個々のアプリケーション内で発生するイベントを監視し、多くの場合、アプリケーションのシステムログを分析することによって攻撃を検出します。サービスインターフェイスを介してアプリケーションと直接通信する機能、およびアプリケーションに関する大量の応用知識により、このクラスのIDSは、アプリケーション内の疑わしいアクティビティのより詳細なビューを提供できます。

利点：

非常に高いレベルの粒度でアクティビティを監視し、個々のユーザーの不正なアクティビティを追跡できるようにします。

制御するサーバー上の相互運用可能なアプリケーションにより、暗号化された環境で動作できます。

一部の専門家は、アプリケーション保護に基づくシステムと単一サーバーの保護に基づくシステムの区別が必ずしも明確ではないことを指摘しています。したがって、将来的には、両方のクラスが単一サーバーの保護に基づく侵入検知システムと呼ばれるようになります。
イベントの分析へのアプローチ。

現在、イベント分析には、シグネチャ検出と異常検出の2つの主要なアプローチがあります。

OWLベースの署名

シグネチャベースの侵入検知アプローチは、既知の攻撃を一意に説明する事前定義された一連のイベントに一致するアクティビティを識別します。したがって、シグネチャベースのシステムは、すべての既知の攻撃を検出するように事前にプログラムする必要があります。この手法は非常に効果的であり、商用プログラムで使用される主要な手法です。

利点：

これらは、多数の誤警報を生成することなく、攻撃を検出するのに非常に効果的です。

短所：

シグニチャベースのシステムは、各攻撃を検出するように事前にプログラムし、新しい攻撃シグニチャで継続的に更新する必要があります。

このクラスの多くのシステムのシグニチャ自体はかなり狭く定義されているため、従来の攻撃の亜種を検出することは困難であり、そのシグニチャはデータベースで利用可能なものと大きく異ならない。

異常検出に基づくフクロウ

これらのシステムは、サーバーまたはネットワーク上の異常な動作（異常）を特定することで攻撃を検出します。それらの操作の原則は、攻撃者が「通常の」ユーザーとは異なる動作をするという事実に基づいており、これらの違いを識別するシステムによって検出できます。異常検出に基づくシステムは、特定のユーザーをプロファイリングすることにより、通常の動作のベースラインを確立します。ネットワーク接続、および制御されたアクティビティが標準から逸脱しているケースを特定します。

残念ながら、今日でもこのクラスのシステムは頻繁に製造されていますたくさんの偽陽性。ただし、これにもかかわらず、研究者は、過去の攻撃の分析に依存するシグネチャベースのIDSとは対照的に、以前は検出されなかった攻撃を検出できると主張しています。一部の商用IDSは、限定された形式の異常検出を実装していますが、このテクノロジーのみに依存しているものはほとんどありません。同時に、異常の検出は依然として活発な研究分野であり、近い将来、深刻な突破口が開かれる可能性があります。

利点：

事前にプログラムする必要なしに攻撃を検出します。

短所：

それらは多数の誤検知を生成し、予測できない動作のためにアクティブになります。

攻撃に自動的に応答するIDS

システムへの攻撃時に人間の管理者が常に対応できるとは限らないため、一部のIDSはそれらに自動的に応答するように構成できます。自動応答の最も単純な形式は、管理者通知です。攻撃を検出した後、IDSは送信できます Eメールまたは、発生したイベントの簡単な説明が記載された管理者への手紙をポケットベルで送信します。より積極的な対応は、攻撃の進行を阻止し、攻撃者によるそれ以上の試みを阻止することができます。原則として、IDSには特定の人物の行動をブロックする機能はありませんが、攻撃者が作業している特定のIPアドレスをブロックすることはできます。

利点：

パケットをドロップするときにTCP接続を切断すると、攻撃対象との攻撃者の接続に注入されます。

攻撃者のIPアドレスからのパケットをブロックするようにルーターとファイアウォールシステムを再構成します。

攻撃者が使用するプロトコルをブロックするようにルーターとファイアウォールシステムを再構成する。

重大な状況では、ルーターとファイアウォールシステムを再構成することにより、このクラスのIDSは、特定のネットワークインターフェイスを使用して現在のすべての接続を切断できます。

攻撃者に対応するためのより積極的な方法には、攻撃者に対する攻撃的なアクションの可能性と、攻撃者のサーバーに関する情報の取得が含まれます。ただし、この回答自体は、違法であり、罪のないインターネットユーザーに損害を与える可能性があるため、組織にとって非常に危険な場合があります。

IDS補完ツール

IDSを補完するツールがいくつかあり、同様の機能を実行するため、開発者は完全なIDSと呼ぶことがよくあります。

ハニーポットとパッド入りセルシステム

ハニーポットは、ミッションクリティカルなアプリケーションに到達する前に攻撃者を誘惑しようとするおとりです。

ハニーポット侵入モニターとレコーダーは、不正なアクションを検出し、攻撃者のアクションに関する情報を収集します。パッド入りセルシステムは、わずかに異なるアプローチを採用しています。 Padded Cellは、実際のデータで攻撃者を引き付けることなく、通常のIDSが侵入を検出するのを待ちます。その後、攻撃者は専用のPaddedCellサーバーに転送されます。蜂蜜の鍋のように、このシミュレートされた環境を実際のデータで満たして、攻撃が計画どおりに進んでいることを攻撃者に納得させることができます。

利点：

攻撃者はターゲットシステムから逸れる可能性があり、それを損傷することはできません。

管理者には、敵に対応する方法を決定する時間があります。

攻撃者のアクションとその結果を許可されたユーザーとして簡単に監視できます。

短所：

経験豊富な攻撃者は、おとりシステムで拒否されると、次に組織のシステムに対してより敵対的な攻撃を仕掛ける可能性があります。

必要高いレベル管理者とセキュリティマネージャーのトレーニング。

そのようなデバイスの使用に対する法的意味はまだ十分に定義されていません。

脆弱性評価ツール

脆弱性評価ツールは、パッシブとアクティブの2つのクラスに分類されます。

パッシブなものは、設定内の危険な構成、脆弱性を含むことがわかっているプログラムのバージョン、および脆弱なパスワードを特定するために、常に稼働しているサーバー上のデータをスキャンします。

アクティブツールは、サーバー設定の脆弱性を検索するために組織のネットワーク全体を分析し、取得した情報を危険であることがわかっているソフトウェアバージョン番号のライブラリと比較し、サーバーが既知の攻撃に対して脆弱かどうかを判断します。

IDSの導入

侵入検知システムを使用するには、サポートに関与する専門家の適切なトレーニングと定期的なやり取りが必要です。組織は、スタッフがIDSによってトリガーされるすべてのタイプのアラームに対応する方法を理解できるように、適切なセキュリティポリシー、計画、および手順を実施する必要があります。

ハニーポットは、高度なセキュリティ技術を試す能力を備えた高度な訓練を受けた技術者がいる組織のみが合理的に使用する必要があります。

一部を除いて
研究用プロトタイプ、パッド入りセルは現在利用できません。

に現在ネットワーク保護に基づくIDSの展開（場所）のいくつかのオプションが実行されます。

外部ネットワーク保護システム（ファイアウォール）の背後-外界からネットワークの防御境界を貫通する攻撃の検出。

外部ネットワーク防御システムに先んじて-ネットワークに対するインターネットからの攻撃が定期的に行われていることを証明します。

バックボーンネットワークチャネル上-ネットワーク内の不正なアクティビティを検出し、大量のネットワークトラフィックを監視します。

重要なサブネット上-重要なリソースへの攻撃を特定します。

PSBの未来

IDSの研究は1985年以降強化されましたが、IDSの大規模な商用利用は1996年まで始まりませんでした。 IDCによると、IDCツールの売上は1998年に1億ドル、2001年に3億5000万ドル、2002年に4億4350万ドルに達しました。場合によっては、汎用性が不足し、エンタープライズネットワーク管理システムとの統合が不足しています。同時に、この情報保護の方向性の開発動向の分析は、近い将来、IDSの機能に関連する問題のほとんどが解決されることを示唆しています。

セルゲイ・グリニャエフ

記事は材料に基づいて作成されました
研究所情報技術米国規格協会。

侵入検知システム (PSB）-コンピュータシステムまたはネットワークへの不正アクセス、または主にインターネットを介したそれらの不正制御の事実を特定するように設計されたソフトウェアまたはハードウェア。対応する英語の用語は 侵入検知システム（IDS）..。侵入検知システムは、コンピューターシステムを保護する追加のレイヤーを提供します。

侵入検知システムは、コンピュータシステムのセキュリティを危険にさらす可能性のある特定の種類の悪意のあるアクティビティを検出するために使用されます。このアクティビティには、脆弱なサービスに対するネットワーク攻撃、特権昇格攻撃、重要なファイルへの不正アクセス、および悪意のあるアクティビティが含まれます。ソフトウェア（コンピュータウイルス、トロイの木馬、ワーム）

通常、IDSアーキテクチャには次のものが含まれます。

保護されたシステムのセキュリティに関連するイベントを収集するように設計されたセンサーサブシステム
センサーデータに基づいて攻撃や疑わしいアクションを検出するように設計された分析サブシステム
一次イベントと分析結果の蓄積を提供するストレージ
IDSの構成、保護されたシステムとIDSの状態の監視、分析サブシステムによって識別されたインシデントの表示を可能にする管理コンソール

センサーのタイプと場所、および疑わしいアクティビティを検出するために分析サブシステムで使用される方法に応じて、IDSを分類する方法はいくつかあります。多くの単純なIDSでは、すべてのコンポーネントが単一のモジュールまたはデバイスとして実装されます。

侵入検知システムの種類

IDESは、侵入検知に2つのアプローチを使用しました。エキスパートシステムを使用して既知のタイプの侵入を識別し、保護されたネットワーク上のユーザーとシステムの統計的手法とプロファイルに基づいて検出コンポーネントを使用しました。 TeresaLuntは人工的な使用を提案しましたニューラルネットワーク検出効率を向上させるための第3のコンポーネントとして。 IDESに続いて、NIDES（次世代侵入検知エキスパートシステム）が1993年に登場しました。

P-BESTとLISPを使用したエキスパートシステムであるMIDAS（Multics侵入検知および警告システム）は、DenningとNeumannの研究に基づいて1988年に開発されました。同じ年に、統計的手法に基づいてHaystackシステムが開発されました。

統計ベースの異常検出器であるW＆S（Wisdom＆Sense-Wisdom＆Sense）は、1989年にロスアラモス国立研究所で開発されました。 W＆Sは統計分析に基づいてルールを作成し、それらのルールを使用して異常を検出しました。

1990年、TIM（時間ベースの帰納的マシン）は、CommonLISPのシーケンシャルユーザーパターンに基づく帰納的学習を使用して異常検出を実装しました。このプログラムはVAX3500用に開発されました。ほぼ同時に、Sun-3 / 50ワークステーションの異常を検出するためのアクセスマトリックスを比較するNSM（ネットワークセキュリティモニター）が開発されました。同じ1990年に、統計、プロファイルチェック、エキスパートシステムなど、多くの検出戦略を含むISOA（情報セキュリティ責任者のアシスタント）が開発されました。 AT＆T Bell Labsで開発されたComputerWatchは、統計的手法とルールを使用してデータを検証し、侵入を検出しました。

2001年に、ADAM IDS（監査データ分析およびマイニングIDS）システムが開発されました。システムはtcpdumpデータを使用してルールを作成しました。

自由に再配布可能なIDS

プレリュードハイブリッドIDS
サムハインHIDS
ミーアキャット

商用IDS

も参照してください

侵入防止システム（IPS）
ネットワーク侵入検知システム（NIDS）
ホストベースの侵入検知システム（HIDS）
プロトコルベースの侵入検知システム（PIDS）
アプリケーションプロトコルベースの侵入検知システム（APIDS）
異常ベースの侵入検知システム
人工免疫システム
侵入検知のための自律エージェント

メモ（編集）

アンダーソン、ジェームズP.、「コンピュータセキュリティ脅威の監視と監視」、ウォッシング、PA、ジェームズP.アンダーソン社、1980年。
Denning、DorothyE。、「侵入検知モデル」、セキュリティとプライバシーに関する第7回IEEEシンポジウムの議事録、1986年5月、119〜131ページ
Lunt、Teresa F。、「IDES：侵入者を検出するためのインテリジェントシステム」、コンピュータセキュリティに関するシンポジウムの議事録。脅威と対策; イタリア、ローマ、1990年11月22〜23日、110〜121ページ。
Lunt、Teresa F.、 "Detecting Intruders in Computer Systems、" 1993 Conference on Auditing and Computer Technology、SRI International
Sebring、Michael M.、およびWhitehurst、R。Alan。、「侵入検知のエキスパートシステム：ケーススタディ」、第11回全国コンピュータセキュリティ会議、1988年10月
Smaha、Stephen E。、「Haystack：侵入検知システム」、第4回航空宇宙コンピュータセキュリティアプリケーション会議、フロリダ州オーランド、1988年12月
Vaccaro、H.S。およびLiepins、G.E。、「Detection of Anomalous Computer Session Activity」、1989 IEEE Symposium on Security and Privacy、1989年5月
Teng、Henry S.、Chen、Kaihu、Lu、Stephen C-Y、「帰納的に生成されたシーケンシャルパターンを使用した適応型リアルタイム異常検出」、1990 IEEE Symposium on Security and Privacy
Heberlein、L。Todd、Dias、Gihan V.、Levitt、Karl N.、Mukherjee、Biswanath、Wood、Jeff、and Wolber、David、 "A Network Security Monitor"、1990 Symposium on Research in Security and Privacy、Oakland、CA 、296〜304ページ
Winkeler、J.R。、「セキュアネットワークにおける侵入と異常検出のためのUNIXプロトタイプ」、第13回全国コンピュータセキュリティ会議、ワシントンDC、115〜124ページ、1990年
Dowell、Cheri、およびRamstedt、Paul、「The ComputerWatch Data Reduction Tool」、第13回全国コンピュータセキュリティ会議の議事録、ワシントンD.C.、1990年
Snapp、Steven R、Brentano、James、Dias、Gihan V.、Goan、Terrance L.、Heberlein、L。Todd、Ho、Che-Lin、Levitt、Karl N.、Mukherjee、Biswanath、Smaha、Stephen E.、Grance 、Tim、Teal、Daniel M.およびMansur、Doug、「DIDS（分散型侵入検知システム）-動機、アーキテクチャ、および初期のプロトタイプ」、第14回全国コンピュータセキュリティ会議、1991年10月、167〜176ページ。
Jackson、Kathleen、DuBois、David H.、およびStallings、Cathy A.、「ネットワーク侵入検知への段階的アプローチ」、第14回全国コンピューティングセキュリティ会議、1991年
Paxson、Vern、「Bro：ネットワーク侵入者をリアルタイムで検出するためのシステム」、第7回USENIXセキュリティシンポジウムの議事録、テキサス州サンアントニオ、1998年
Amoroso、Edward、「侵入検知：インターネット監視、相関、トレースバック、トラップ、および応答の概要」、Intrusion.Net Books、ニュージャージー州スパルタ、1999年、ISBN 0-9666700-7-8
コーレンバーグ、トビー（編）、アルダー、レイヴン、カーター、博士。 Everett F.（Skip）、Jr.、Foster、James C.、Jonkman Marty、Raffael、and Poor、Mike、 "Snort IDS and IPS Toolkit、" Syngress、2007、ISBN 978-1-59749-099-3
Barbara、Daniel、Couto、Julia、Jajodia、Sushil、Popyack、Leonard、およびWu、Ningning、「ADAM：データマイニングによる侵入の検出」、情報保証とセキュリティに関するIEEEワークショップの議事録、ニューヨーク州ウェストポイント、6月5日2001年6月6日

リンク

一部のIDSバイパス方法：パート1およびパート2
侵入検知および防止システム（IDPS）のガイド、NISTCSRC特別刊行物SP800-94、2007年2月リリース

悪意のあるソフトウェア
感染性マルウェア	コンピュータウイルス（リスト）ネットワークワーム（リスト）トロイの木馬プログラムブートウイルスタイムライン
隠蔽技術	バックドアコンピュータゾンビルートキット
悪意のあるプログラム営利目的

侵入検知システムは、コンピュータシステムのセキュリティを危険にさらす可能性のある特定の種類の悪意のあるアクティビティを検出するために使用されます。このアクティビティには、脆弱なサービスに対するネットワーク攻撃、特権昇格攻撃、重要なファイルへの不正アクセス、および悪意のあるソフトウェア（コンピューターウイルス、トロイの木馬、ワーム）のアクションが含まれます。

通常、IDSアーキテクチャには次のものが含まれます。

保護されたシステムのセキュリティに関連するイベントを収集するように設計されたセンサーサブシステム
センサーデータに基づいて攻撃や疑わしいアクションを検出するように設計された分析サブシステム
一次イベントと分析結果の蓄積を提供するストレージ
IDSの構成、保護されたシステムとIDSの状態の監視、分析サブシステムによって識別されたインシデントの表示を可能にする管理コンソール

大学のYouTube

1 / 5
IDESは、侵入検知に2つのアプローチを使用しました。エキスパートシステムを使用して既知のタイプの侵入を識別し、保護されたネットワーク上のユーザーとシステムの統計的手法とプロファイルに基づいて検出コンポーネントを使用しました。 Teresa Luntは、検出効率を向上させるための3番目のコンポーネントとして人工ニューラルネットワークを使用することを提案しました。 IDESに続いて、NIDES（次世代侵入検知エキスパートシステム）が1993年に登場しました。
P-BESTとLISPを使用したエキスパートシステムであるMIDAS（Multics侵入検知および警告システム）は、DenningとNeumannの研究に基づいて1988年に開発されました。同じ年に、統計的手法に基づいてHaystackシステムが開発されました。
統計ベースの異常検出器であるW＆S（Wisdom＆Sense-Wisdom＆Sense）は、1989年にロスアラモス国立研究所で開発されました。 W＆Sは統計分析に基づいてルールを作成し、それらのルールを使用して異常を検出しました。
1990年、TIM（時間ベースの帰納的マシン）は、CommonLISPのシーケンシャルユーザーパターンに基づく帰納的学習を使用して異常検出を実装しました。このプログラムはVAX3500用に開発されました。ほぼ同時に、Sun-3 / 50ワークステーションの異常を検出するためのアクセスマトリックスを比較するNSM（ネットワークセキュリティモニター）が開発されました。同じ1990年に、統計、プロファイルチェック、エキスパートシステムなど、多くの検出戦略を含むISOA（情報セキュリティ責任者のアシスタント）が開発されました。 AT＆T Bell Labsで開発されたComputerWatchは、統計的手法とルールを使用してデータを検証し、侵入を検出しました。
2001年に、ADAM IDS（監査データ分析およびマイニングIDS）システムが開発されました。システムはtcpdumpデータを使用してルールを作成しました。

自由に再配布可能なIDS
- プレリュードハイブリッドIDS
- サムハインHIDS
- ミーアキャット
商用IDS

も参照してください
- 侵入防止システム（IPS）
- ネットワーク侵入検知システム（NIDS）
- ホストベースの侵入検知システム（HIDS）
- プロトコルベースの侵入検知システム（PIDS）
- アプリケーションプロトコルベースの侵入検知システム（APIDS）
- 異常ベースの侵入検知システム
- 人工免疫システム
- 侵入検知のための自律エージェント
侵入検知器は、攻撃や悪意のある活動を検知するためのソフトウェアまたはハードウェアツールです。それらは、ネットワークとコンピュータシステムが適切に反撃するのを助けます。これを実現するために、IDSは複数のシステムまたはネットワークソースから情報を収集します。次に、IDSはそれを攻撃について分析します。この記事では、「IDS-それは何で、何のためにあるのか？」という質問に答えようとします。
侵入検知システム（IDS）とは
情報システムとネットワークは常にサイバー攻撃にさらされています。ファイアウォールとアンチウイルスは、コンピュータシステムとネットワークの「正面玄関」を保護することしかできないため、これらすべての攻撃を撃退するには明らかに不十分です。自分をハッカーだと思っているさまざまな10代の若者が、セキュリティシステムのギャップを求めてインターネットを絶えず探し回っています。
ワールドワイドウェブのおかげで、彼らは自由に使える完全に無料の悪意のあるソフトウェアをたくさん持っています-あらゆる種類のスラマー、盲人、および同様の悪意のあるプログラム。プロのハッカーのサービスは、競合する企業がお互いを無力化するために使用します。したがって、侵入検知システムは必須です。当然のことながら、それらは毎日ますます広く使用されています。
IDS要素
IDS要素には次のものが含まれます。
- 検出器サブシステム。その目的は、ネットワークまたはコンピューターシステムのイベントの蓄積です。
- サイバー攻撃と疑わしい活動を検出する分析サブシステム。
- イベントに関する情報の蓄積、およびサイバー攻撃と不正行為の分析結果のためのストレージ。
- IDSパラメータを設定したり、ネットワーク（またはコンピュータシステム）の状態を監視したり、分析サブシステムによって検出された攻撃や不正行為に関する情報にアクセスしたりできる管理コンソール。
ちなみに、多くの人が「IDSはどのように翻訳されているのですか？」と尋ねるかもしれません。英語からの翻訳は「招かれざる客を熱く捕らえるシステム」のように聞こえます。
侵入検知システムによって解決される主なタスク
侵入検知システムには、分析と、この分析の結果に基づく適切な対応という2つの主要なタスクがあります。これらのタスクを実行するために、IDSシステムは次のアクションを実行します。
- ユーザーアクティビティを監視および分析します。
- システム構成とその弱点を監査します。
- 重要なシステムファイルとデータファイルの整合性をチェックします。
- 既知の攻撃中に発生した状態との比較に基づいて、システム状態の統計分析を実行します。
- オペレーティングシステムを監査します。
侵入検知システムでできることとできないこと
その助けを借りて、あなたは以下を達成することができます：
- 整合性パラメータを改善します。
- ユーザーがシステムにログインした瞬間から、システムに害を及ぼす瞬間または不正なアクションの実行までのユーザーのアクティビティを追跡します。
- データの変更または削除を認識して通知する。
- 最新の攻撃を見つけるためにインターネット監視タスクを自動化します。
- システム構成のエラーを特定します。
- 攻撃の開始を検出し、それについて通知します。
IDSはこれを行うことができません：
- ネットワークプロトコルの欠陥を補う。
- 監視するネットワークまたはコンピュータシステムに弱い識別および認証メカニズムが存在する場合に、代償的な役割を果たします。
- IDSは、パケットレベルの攻撃に関連する問題を常に処理するとは限らないことにも注意してください。
IPS（侵入防止システム）-IDSの継続
IPSは「侵入防止」の略です。これらは、IDSの高度で機能的なフレーバーです。 IPS IDSシステムは（従来とは対照的に）反応的です。これは、攻撃を検出、記録、警告するだけでなく、保護機能も実行できることを意味します。これらの機能には、接続のドロップと着信トラフィックパケットのブロックが含まれます。 IPSのもう1つの際立った特徴は、オンラインで動作し、攻撃を自動的にブロックできることです。
監視方法によるIDSサブタイプ
NIDS（つまり、ネットワーク全体を監視するIDS）は、サブネット全体のトラフィックを分析し、一元管理されます。複数のNIDSを適切に配置することにより、かなり大規模なネットワークの監視を実現できます。
これらは無差別モードで動作し（つまり、選択的に行うのではなく、すべての着信パケットをチェックします）、サブネットトラフィックをライブラリからの既知の攻撃と比較します。攻撃が特定されるか、不正なアクティビティが検出されると、管理者にアラームが送信されます。ただし、トラフィックの多い大規模なネットワークでは、NIDSがすべての情報パケットのチェックに失敗する場合があることに注意してください。そのため、ラッシュアワーの時間帯は攻撃を認識できない可能性があります。
NIDS（ネットワークベースのIDS）は、パッシブであるため、機能に特別な影響を与えないため、新しいネットワークトポロジに簡単に統合できるシステムです。上で説明したリアクティブタイプのIPSシステムとは対照的に、これらはキャプチャ、記録、および通知のみを行います。ただし、ネットワークベースのIDSについては、暗号化された情報を分析できないシステムであるとも言わなければなりません。仮想プライベートネットワーク（VPN）の採用が増えるにつれ、暗号化された情報がサイバー犯罪者によって攻撃に使用されることが増えているため、これは重大な欠点です。
また、NIDSは、攻撃が害を及ぼしたかどうかにかかわらず、攻撃の結果として何が起こったのかを判断できません。彼らにできることは、その始まりを修正することだけです。したがって、管理者は、攻撃者が目標を達成したことを確認するために、攻撃の各ケースを個別に再確認する必要があります。もう1つの重要な問題は、NIDSがフラグメント化されたパケット攻撃を検出するのが難しいことです。それらはNIDSの通常の動作を混乱させる可能性があるため、特に危険です。これがネットワーク全体またはコンピュータシステムにとって何を意味するのかを説明する必要はありません。
HIDS（ホスト侵入検知システム）
HIDS（IDS、ホスト（ホスト）の監視）は、特定のコンピューターにのみサービスを提供します。これは当然、はるかに高い効率を提供します。 HIDSは、システムログとオペレーティングシステムの監査結果の2種類の情報を分析します。彼らはシステムファイルのスナップショットを取り、それを以前のスナップショットと比較します。システムの重要なファイルが変更または削除された場合、アラームが管理者に送信されます。
HIDSの重要な利点は、ネットワークトラフィックを暗号化できる状況でその仕事を実行できることです。これが可能なのは、データが暗号化される前、または宛先ホストで復号化された後に、ホストベースの情報ソースを作成できるためです。
このシステムの欠点には、特定の種類のDoS攻撃を使用してシステムをブロックまたは禁止する機能が含まれます。ここでの問題は、センサーと一部のHIDS分析ツールが、攻撃されているホスト上に配置されていることです。つまり、それらも攻撃されています。 HIDSがホストのリソースを使用し、その作業を監視しているという事実は、当然のことながらパフォーマンスを低下させるため、プラスとは言えません。
攻撃検知方法によるIDSサブタイプ
異常メソッド、シグネチャ分析メソッド、およびポリシーメソッド-これらは、攻撃検出メソッドの観点からIDSシステムのサブタイプです。
署名分析方法
この場合、データパケットの攻撃シグネチャがチェックされます。攻撃シグネチャは、既知の攻撃を説明するパターンの1つに一致するイベントです。この方法は、誤った攻撃を報告することはめったにないため、非常に効果的です。
異常法
ネットワークおよびホストでの不正なアクションを検出します。ホストとネットワークの通常の操作の履歴に基づいて、これに関するデータを使用して特別なプロファイルが作成されます。次に、イベントを分析する特別な検出器が登場します。さまざまなアルゴリズムを使用して、これらのイベントを分析し、プロファイルの「標準」と比較します。膨大な数の攻撃シグネチャを蓄積する必要がないことは、この方法の疑いのない利点です。ただし、ネットワーク上の非定型であるが完全に正当なイベント中の攻撃に関するかなりの数の誤ったシグナルは、疑いの余地のない欠点です。
ポリシー方式
攻撃を検出するもう1つの方法は、ポリシー方式です。その本質は、ネットワークセキュリティルールの作成にあります。これは、たとえば、ネットワークとこの場合に使用されるプロトコルとの間の相互作用の原則を示すことができます。この方法は有望ですが、問題はポリシーベースを作成するかなり複雑なプロセスにあります。
ID Systemsは、ネットワークとコンピューターシステムに信頼性の高い保護を提供します
今日のIDSystemsグループの企業は、セキュリティシステムの作成分野におけるマーケットリーダーの1つです。コンピューターネットワーク..。それはサイバー悪役に対する信頼できる保護を提供します。 ID Systemsのセキュリティシステムを使用すると、重要なデータについて心配する必要がなくなります。これにより、魂の不安が少なくなるため、人生をより楽しむことができます。
IDシステム-従業員のレビュー
優れたチーム、そして最も重要なことは、もちろん、従業員に対する会社の経営陣の正しい態度です。誰もが（初心者でも）専門的に成長する機会があります。もちろん、これについては、自分自身を証明する必要があります。そうすれば、すべてがうまくいきます。
チームは健康的な雰囲気を持っています。初心者は常にすべてを教えられ、すべてを示します。不健康な競争は感じられません。長年会社に勤めている従業員は、すべての技術的な詳細を喜んで共有します。彼らは親切にも、見下しの影がなくても、経験の浅い労働者の愚かな質問に答えます。一般的に、IDシステムで働くことからの楽しい感情だけがあります。
経営陣の態度は心地よく楽しいです。チームは本当に非常に専門的であるため、ここで明らかに、彼らが人員と協力する方法を知っていることも喜ばしいことです。従業員の意見はほとんど明白です：彼らは家で仕事をしていると感じます。

侵入検知システム（IDS）は、主にインターネットを介した、コンピューターシステムまたはネットワークへの不正アクセスまたはそれらの不正制御の事実を検出するように設計されたソフトウェアまたはハードウェアツールです。対応する英語の用語は侵入検知システム（IDS）です。侵入検知システムは、コンピューターシステムを保護する追加のレイヤーを提供します。

侵入検知システムは、コンピュータシステムのセキュリティを危険にさらす可能性のある特定の種類の悪意のあるアクティビティを検出するために使用されます。これらのアクティビティには、脆弱なサービスに対するネットワーク攻撃、特権昇格攻撃、機密ファイルへの不正アクセス、および悪意のあるソフトウェアが含まれます。

通常、IDSアーキテクチャには次のものが含まれます。
- -保護されたシステムの安全性に関連するイベントを収集するように設計されたセンサーサブシステム、
- -センサーデータに基づいて攻撃や疑わしいアクションを検出するように設計された分析サブシステム、
- -ストレージ、主要なイベントと分析結果の蓄積を提供し、
- -IDSの構成、保護されたシステムとIDSの状態の監視、分析サブシステムによって識別されたインシデントの表示を可能にする管理コンソール。
センサーのタイプと場所、および疑わしいアクティビティを検出するために分析サブシステムで使用される方法に応じて、IDSを分類する方法はいくつかあります。多くの単純なIDSでは、すべてのコンポーネントが単一のモジュールまたはデバイスとして実装されます。

侵入検知システムの種類：

ネットワークIDSでは、センサーはネットワーク内の関心のあるポイント、多くの場合非武装ゾーン、またはネットワークのエッジに配置されます。センサーはすべてのネットワークトラフィックを傍受し、各パケットの内容を分析して悪意のあるコンポーネントを探します。プロトコルIDSは、特定のプロトコルまたは言語構文（SQLなど）のルールに違反するトラフィックを追跡するために使用されます。ホストIDSでは、センサーは通常、センサーがインストールされているホストのアクティビティを監視するソフトウェアエージェントです。リストされているタイプのIDSのハイブリッドバージョンもあります。

ネットワークベースのIDS（NIDS）は、ネットワークトラフィックを調べて侵入を監視し、複数のホストを監視します。ネットワーク侵入検知システムは、ポートミラーリング用に構成されたハブまたはスイッチ、あるいはネットワークTAPデバイスに接続することにより、ネットワークトラフィックにアクセスします。ネットワークIDSの例はSnortです。

プロトコルベースのIDS（PIDS）は、関連するシステムまたはユーザーとの通信プロトコルを監視および分析するシステム（またはエージェント）です。 Webサーバーの場合、このようなIDSは通常HTTPおよびHTTPSプロトコルを監視します。HTTPSを使用する場合、HTTPSパケットを暗号化してネットワークに送信する前に、IDSをそのようなインターフェイスに配置してHTTPSパケットを表示する必要があります。

アプリケーションプロトコルベースのIDS（APIDS）は、アプリケーション固有のプロトコルを使用して送信されたデータを監視および分析するシステム（またはエージェント）です。たとえば、SQLデータベースを備えたWebサーバーでは、IDSはサーバーに送信されたSQLコマンドの内容を監視します。

ホストIDS（HIDS）-システム出力、アプリケーションログ、ファイル変更（実行可能ファイル、パスワードファイル、システムデータベース）、ホスト状態、およびその他のソースの分析を使用して侵入を監視する、ホスト上にあるシステム（またはエージェント）... 例はOSSECです。

ハイブリッドIDSは、IDSを開発するための2つ以上のアプローチを組み合わせたものです。ホスト上のエージェントからのデータは、ネットワーク情報ネットワークセキュリティの最も完全な全体像を作成します。ハイブリッドIDSの例はプレリュードです。

パッシブおよびアクティブ侵入検知システム：

パッシブIDSでは、セキュリティ違反が検出されると、違反に関する情報がアプリケーションログに記録され、特定の通信チャネルを介して危険信号がコンソールやシステム管理者に送信されます。侵入防止システム（IPS）とも呼ばれるアクティブなシステムでは、IDSは接続を切断するか、ファイアウォールを再構成して攻撃者からのトラフィックをブロックすることにより、違反に対応します。応答アクションは、自動的に実行することも、オペレーターのコマンドで実行することもできます。

IDSとファイアウォールの両方が提供する手段に属していますが情報セキュリティー、ファイアウォールは、侵入を防ぐためにホストまたはサブネットへの特定のタイプのトラフィックのエントリを制限し、ネットワーク内で発生する侵入を監視しないという点で異なります。対照的に、IDSはトラフィックを分析し、疑わしいアクティビティを検出したときにシグナリングすることでトラフィックを渡します。セキュリティ違反の検出は、通常、ヒューリスティックと既知のコンピュータ攻撃のシグネチャの分析を使用して実行されます。

IDSの開発履歴：

IDSの最初の概念は、JamesAndersonとその記事から生まれました。 1984年、Fred Cohen（侵入検知を参照）は、すべての侵入を検出できるわけではなく、コンピューター技術を使用することで侵入を検出するために必要なリソースが増えると発表しました。

ドロシー・デニングは、ピーター・ノイマンの支援を受けて、1986年にIDSモデルを公開しました。これは、ほとんどの最新システムの基礎を形成しています。彼女のモデルは侵入検知に統計的手法を使用し、IDES（侵入検知エキスパートシステム）と呼ばれていました。システムはSunワークステーションで実行され、ネットワークトラフィックとユーザーアプリケーションデータの両方をチェックしました。

IDESは、侵入検知に2つのアプローチを使用しました。エキスパートシステムを使用して既知のタイプの侵入を識別し、保護されたネットワーク上のユーザーとシステムの統計的手法とプロファイルに基づいて検出コンポーネントを使用しました。 Teresa Luntは、検出効率を向上させるための3番目のコンポーネントとして人工ニューラルネットワークを使用することを提案しました。 IDESに続いて、NIDES（次世代侵入検知エキスパートシステム）が1993年に登場しました。

P-BESTとLISPを使用したエキスパートシステムであるMIDAS（Multics侵入検知および警告システム）は、DenningとNeumannの研究に基づいて1988年に開発されました。同じ年に、統計的手法に基づいてHaystackシステムが開発されました。

W＆S（Wisdom＆Sense-知恵と感情）は、統計的手法に基づいて、1989年にロスアラモス国立研究所で開発されました。 W＆Sは統計分析に基づいてルールを作成し、それらのルールを使用して異常を検出しました。

1990年、TIM（時間ベースの帰納的マシン）は、CommonLISPのシーケンシャルユーザーパターンに基づく帰納的学習を使用して異常検出を実装しました。このプログラムはVAX3500用に開発されました。ほぼ同時に、Sun-3 / 50ワークステーションの異常を検出するためのアクセスマトリックスを比較するNSM（ネットワークセキュリティモニター）が開発されました。同じ1990年に、統計、プロファイルチェック、エキスパートシステムなど、さまざまな検出戦略を含むISOA（情報セキュリティ責任者のアシスタント）が開発されました。AT＆Tベルラボで開発されたComputerWatchは、統計手法とルールを使用して検証しました。データと侵入の検出。

さらに、1991年に、カリフォルニア大学の開発者は、エキスパートシステムでもあるDIDS（分散型侵入検知システム）のプロトタイプを開発しました。また、1991年に国立埋め込み研究所のスタッフによってコンピューティングネットワーク（ICN）、NADIR（ネットワーク異常検出および侵入レポーター）システムが開発されました。このシステムの作成は、デニングとラントの仕事に大きく影響されました。 NADIRは、統計ベースの異常検出器とエキスパートシステムを使用しました。

1998年、ローレンスバークレー国立研究所はBroを発表しました。これは、独自のルール言語を使用してデータを解析するlibpcapです。 1999年に開発されたNFR（Network Flight Recorder）も、libpcapに基づいて機能しました。 1998年11月、libpcapも使用するパッケージスニファであるAPEが開発されました。 1か月後、APEはSnortに名前が変更されました。

2001年に、ADAM IDS（監査データ分析およびマイニングIDS）システムが開発されました。システムはtcpdumpデータを使用してルールを作成しました。

自由に再配布可能なIDS。