侵入検知システム

サーバやネットワークへの不正侵入や攻撃を監視する「侵入検知システム(Intrusion Detection System)」(以下:IDSと呼ぶ)は既に多くの組織に導入されている。しかし、IDSが攻撃・侵入を検知する際の特性や、ネットワーク・トラフィッ クの負荷によってIDSが受けるパフォーマンス上の影響等、あまり知られていない箇所が存在する事もまた事実である。これは、IDSが侵入や攻撃を自動検 出する際、トラフィックのパターン等によって、実際には発生していない侵入・攻撃行為を誤検知するフォールス・ポジティブ状態や、侵入・攻撃行為を検知し 損なうフォールス・ネガティブ状態に陥る事からも言える。

ネットワーク監視型IDSの殆どは、ネットワーク上を流れるパケットを監視し、「シグネチャ」と呼ばれる攻撃パターン・データベースを参照し、比較検討す る事で、侵入や攻撃を検知する仕組みとなっている。ところが、現実のネットワークでは、データの消減・重複・到着順序の逆転・遅延といった現象が頻繁に起 こりうる。こうした状況でIDSがどこまで正確に攻撃を検知出来るかは、管理者にとって非常に重要な問題である。

又、実際にクラッカがターゲットを攻略する際、前述のIDSの特性を利用しデータの送出順序を意図的に変更するな どして同様の状況を擬似的に創造しIDSの監視を逃れようとする手法が良く知られている。この様な場合にIDSがフォールス・ネガティブ状態に陥ってしま うのでは、IDSを導入した意味が全く無くなってしまう。反対にIDSによる誤検知が頻発すると、信頼性そのものを疑われる結果になり運用面で支障をきた す。 バック・グラウンドのトラフィックの種類や量も、又、全てのトラフィックの種類や量も、トラフィックを検知するネットワーク型IDSの侵入検知率と大きく 関係してくるのである。その事は、ネットワーク上を流れる全てのパケットを監視して攻撃か否かを判断するIDSにとって、

  • トラフィック量が増える事で処理負荷が高まる。
  • 高負荷の時、解析処理そのものがトラフィックに追いつけなくなる事がある。
  • 最終的に攻撃を検知出来なくなる。

と言った悪循環が主な要因であり、前もってIDSのスペックに応じたネットワーク内の監視範囲が設定され、そのトラフィック量を考慮した構築が成されていれば、ある程度は防げていた事かもしれないのである。

twitter