このページの本文へ

初心者歓迎!ネットワークセキュリティ入門 第2回

ネットワークの脅威と対策を一から学ぼう

巧妙化する不正プログラムを防ぐには?

2009年08月19日 09時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

シグネチャをベースに攻撃を検出するIDS

 ウイルス対策ソフトとは別に、ファイアウォールで防げない攻撃を検出する方法として、2000年以降急速に発展を遂げたのが、IDS・IPSである。

 IDSはIntrusion Detection Systemの略で、侵入検出装置といわれることが多い。IDSは通信データから攻撃を検出し、管理者のコンソールやメールで警告を送信するという役割を持っている(図8)。

図8 IDS・IPSが採用するシグネチャ方式とアノマリ方式

 IDSでは、ウイルス対策ソフトと同じく、攻撃や不正プログラムの特徴を「シグネチャ」と呼ばれるデータベースに登録し、これを通信データと照らし合わせることで攻撃や不正プログラムを検出する。シグネチャに登録されるのは、ウイルスが攻撃の際に送信する通信内容で特徴的な箇所などである。

 あらかじめ管理者が設定した条件に合致した通信をパケットレベルで遮断するファイアウォールと異なり、IDSのシグネチャは動的に更新することができる。そのため、最新の攻撃パターンを登録すれば、検出の対象となる。ただ、ウイルス対策ソフトとの例と同じく、シグネチャに登録されていない攻撃は検出できないという弱点がある

 こうしたシグネチャ方式の弱点を補うべく登場したのが、「アノマリ方式」と呼ばれる手法だ。アノマリ方式とは、不正な攻撃ではなく、正常な通信の特徴をあらかじめ登録しておき、それ以外を攻撃とみなす技術である

 たとえば、RFCの規格に準拠していないパケットや通常とは異なる大量のトラフィックなどの「異常」が発見されたら、管理者に通知するというアプローチである。この方法だと、シグネチャに登録されていない未知の攻撃も発見できる可能性がある。

 ただ、誤検出の問題もあり、アノマリ方式はシグネチャ方式の検出を補助する役割がメインとなっている。たとえば、DDoS攻撃の例を見てみよう。特定の脆弱性を狙ってサーバを機能不全に陥れる攻撃に対しては、シグネチャによって検出が可能だ。一方、とにかく大量のパケットを送りつけるタイプのDDoS攻撃の場合は、トラフィック量の増大によって攻撃と認識するアノマリ型検出を用いればよい。

 このあたりの使い分けは、ウイルス対策ソフトでのパターンマッチング方式とヒューリスティック方式の関係と同じである。

(次ページ、「ネットワーク上で攻撃を検出する」に続く)


 

カテゴリートップへ

この連載の記事
ピックアップ