next up previous contents
Next: Snortのインストール Up: Site Administration Course Previous: 演習課題

侵入検知システム

侵入検知システム(Intrusion Detection system: IDS)は、 侵入あるいは攻撃の特徴的なパターン・兆候などを探知し、検知する ためのものである。ネットワーク上のトラフィックのパターンを検知 するものを Network IDS (あるいは Network based IDS)と呼び、 ホスト上で異常を検知するものを Host based IDS と呼ぶ。後者に ついては長い歴史があり、例えば syslog などもそうしたシステム の結果のものであり、多くの対策用プログラムも考えられている。 しかし、近年もてはやされている IDS は一般に NIDS であると言って 良いであろう。 それは、ポートスキャンの有無や、様々なアタック手法の特徴を総合し、一つの 検知システムとしたものであり、Host based IDS では防ぐ事が出来ない 攻撃に対するシステムである。 但し、NDIS にも問題があり、ネットワーク上の全てのトラフィックを 監視するには能力が不足しているという点である。実際、ルータの能力は 年々向上する一方であり、数十Gbps は既に当然となっている現在、 それらのトラフィックを全て監視することはほとんど不可能になりつつ ある。こうしたトラフィックを全て監視するためには、非常に賢い分散 システムが必要であり、単なる負荷分散では監視が困難である。要するに、 NDISで監視する対象は、Webサーバであったり、FireWallの出入口 のような、重要であるが帯域が限られた部分であると言える。勿論、 HIDS にはこのような困難はなく、十分なサーバ資源があれば実行可能で あり、むしろサーバだけではなく、クライアント全てにこのような HIDSが 今後重要になるであろう(実際、ウィルスチェッカーなどはこの方向に 進む事になるであろう)。

一方、検知パターンの点から IDS を分類すると、異常検知と不正検知 の2つに大きくは分けられる。前者は、正常状態のパターンを学習・認識 し、それから外れたパターンを異常と認定するようなシステムである。 従って、何が正常かという事の事例の収集が難しい点と、誤報が避けられない という事が難点として上げられるが、不正検知では決して見付からないような ものも検知できるという大きな利点があり、最近注目を浴びつつある。 後者の今一つの不正検知は現在主流の手法であるが、単純に不正なパターンを 記憶し、そのパターンに合致するものを検知するものである。 従って、異常検知に比較して、誤報が少なく精度が高いのであるが、不正と して記憶されていなければ検知出来ない点、異常パターンの一般的記述 方法が比較的に難しく、熟練した専門家を要する点に問題がある。

いずれにしても、まずここで注意しなければならないのは、あくまでも 検知システムであって、侵入防止システムではないという点であろう。 また、IDSは基本的には異常パターンを検知するのであり、つまる所は パターンの検知でしかない。つまりは既知のパターンしか(あるいは既知の パターンから外れたものしか)検出出来ない という点を良く理解しておく必要がある。 また、監視パターンに一致したものは警報とされるが、それらの多くは 別の無害な問題であったり、取るに足らない、侵入とは異なる事象で ある場合もあり、過信は禁物である。 従って、IDS が有用であるかどうかは非常に難しい問題であり、単体で 有用であるというよりも、管理者が適切に運用・解釈してこそのツール であると言える。

同時に、Host based IDS と組み合わせたり、NDIS をセンサーとして ネットワーク上に配置し、それらを総合して監視するものとして DIDS( Distributed IDS) なども登場し始めているが、IDSの特徴を理解する事が まず必要である(勿論、アタックの種類や特徴も知る必要があるが)。

なお、更に進んだ興味あるシステムとしては、FireWall と緊密な連携を とるタイプが研究されつつある。つまり、警報に上げられるような活動が 何らかのレベルに達した時点で、FireWall と連動し、そのコネクションを 切断するようなタイプであり、今後の発展が望まれる。

ここでは、NIDSとして最も基本的と思われる(実は非常に優秀であるとも 言われているが) Snort を取り上げ、簡単に解説をする。 また、最近では Snort を使って DIDS を 構築する試みもあるが、Snort 自体の解説に止める。

その他、研究用としてはフリーに入手可能なツールとして、 NFR(Net Fright Recorder)も古典的かつ基本的なツールであり、N-codeという 専用言語を搭載した点で他には見られないものであるが、それなりの知識が 必要であり、完全にフリーで、今も最新のsignatureのルールファイルが 入手出来るという点で Snort の方が一般には有用であろう。





Noriyo Kanayama