IDSとは？（１）

IDSとは、「Intrusion Detection System」の略です。

日本語だと、「侵入検知システム」といいます。

IDSの主な役割としては、ネットワークやコンピュータを監視して、不正な通信を検知した際に警告を出します。

では、IDSは何をもとに不正な通信だと判断するのでしょう？

製品によって、以下の2種類のタイプのものがあります。

■シグネチャ方式（不正検知）

この方式では、過去に発生した不正アクセスのパターン（特徴）をあらかじめIDSに登録しておきます。

シグネチャ方式では、登録したシグネチャと全く同じ通信が発生したときに検知をするんですが、ちょっとでも違う動作であると、シグネチャが一致しないため、見つけられません。

こういう場合には新しいシグネチャを追加する必要があります。

要するに、過去に発生した不正アクセスは防げるけど、未知のものは防げないということですね。

ちなみにウイルス（ネットワーク型ワーム）も不正な通信をするタイプのものはシグネチャを使って防ぐことができます。

■アノーマリ方式（異常検知）

この方式では、あらかじめIDSに正常な状態の通信の状況を覚えさせておきます。

そして、ネットワークを流れるデータが急に増えたり、通常と違うデータが流れたような場合に、「いつもと違う」と判断して警告を出すことが可能です。

この方式だと、未知な攻撃にも対処できるので、ゼロデイアタックも防げるといわれています。

ただ、正常な通信なのに、いつもと違う動きをしたからといって検知してしまう「誤検知」という問題も抱えています。