IDSの基本機能とは?
IDSは、データの収集方法(場所)によって、ネットワーク上を流れるパケットを採取し、リアルタイムでパケットを解析しながらネットワークトラフィックを監視する「ネットワーク型(Network IDS=NIDS)」と、サーバなどのアクセスログを取得する機器に監視システムを組み込んだ「ホスト型(Host IDS=HIDS)」の2つに大別することができる。基本的にIDSの侵入検出には、「パターンマッチング」が用いられる。NIDSではネットワークのパケット、HIDSではアクセスログの特徴的な部分を「パターン」として取り出し、データベース化しておく。それを検索対象のパケットまたはアクセスログの内容と照合「マッチング」させる。
IDSの導入メリットとは?
IDSを導入すると、ネットワーク上を流れるデータのパターンを分析し、異常を検知すると、ネットワーク管理者へ電子メールなどで通知してくれる。通知を受けた管理者が検知されたデータの性質を見極め、適切に対処を行うことで、早い段階で被害を最小限に食い止めることが可能となる。
NIDS製品は、L2スイッチ(スイッチングハブ)のミラーポートからのパケットを収集するのに使用されることが主流だったが、近年はボトルネックになる場所に設置することで、すべてのパケットを取得できるようにするインライン型NIDSも多くなっている。