IDSはその形態によって分類することができる。IDSが監視する対象によって分類すると、「ネットワーク型(NIDS)」と「ホスト型(HIDS)」に分けられる。
ネットワーク型のIDSが監視するのは、その名のとおり「ネットワーク」である。例えば、192.168.0.0/24のネットワークを監視するように設定されたIDSであれば、そのネットワークに流れるパケットすべてが監視対象となる。ちなみに Snortは「ネットワーク型」のIDSである。
ネットワーク型のIDSは、一般的に「ステルスモード」で運用される。ステルスモードとは、NICにIPアドレスを割り振らずに運用する方法である。これにより、外部からIDSを認識することは事実上不可能になる。
一方、ホスト型のIDSが監視するのは、「IDSが稼働しているコンピュータ自身」である。つまり、IDSが稼働しているコンピュータ以外は監視対象とならない。このタイプのIDSとして有名なのは、「Tripwire」であろう。
ここまでは「監視する対象」で分類してきたが、「分析方法」という観点からも分類することができる。その場合、「シグネチャ型」と「アノマリ型」に分類することができる。
シグネチャ型とは「○○○○の場合は不正アクセスである」といった情報(シグネチャ)と現在のパケットを照らし合わせ、合致した場合に「不正アクセスである」と判断する方法である。
例えば「パケット中にAAAが含まれていたら不正アクセスである」と定義されたシグネチャがあるとしよう。 IDSはそのシグネチャとパケットを照らし合わせる。もし、そのパケット中にAAAが含まれていた場合、IDSは不正アクセスであると判断し、警告を発する。ちなみにSnortはシグネチャ型のIDSである。
アノマリ型とは「○○○○という状態が正常である」といった情報を何らかの手段により蓄積しておき(例えば管理者が定義した「正常な状態」において、統計情報を収集する)、それと現在の状況を照らし合わせて、ある一定の閾(いき)値を超えた場合に、「異常である」と判断する方法である。
例えば、「1秒当たりに10MBの通信量が存在する状態」が平常時であると定義されており、かつ「それを超過した場合異常と見なす」と定義されていた場合、1秒間の通信量が10MBを超えた時点でIDSは異常であると判断し、警告を発する。
Copyright © ITmedia, Inc. All Rights Reserved.