IDS
定義
IDS(Intrusion Detection System:侵入検知システム)とはネットワークやホストへの不正アクセス・攻撃を検知し、管理者にアラートを送るセキュリティシステムです。ネットワーク型NIDS(ネットワークトラフィックを傍受して分析)とホスト型HIDS(OS上のログ・ファイル変更・プロセスを監視)の2種類があります。シグネチャベース検知は既知の攻撃パターンと照合するため既知の脅威には高精度ですが未知の攻撃には対応できず、アノマリベース検知は通常の振る舞いからの逸脱を機械学習で検知するため未知の攻撃にも対応できますが誤検知が増える傾向があります。IDSは検知・通知に留まり自動遮断は行わない点がIPSとの大きな違いです。アラートはSIEMに集約してコンテキスト分析と誤検知チューニングを行うことが、実運用における重要な課題です。
関連用語
同じカテゴリの用語(防御・対策)
内部ネットワークとインターネットの間に設ける緩衝ゾーン。WebサーバーやメールサーバーなどをDMZに配置することで、外部…
エンドポイント(PC・サーバー・スマートフォン)上の挙動をリアルタイム監視し、高度な脅威を検知・調査・対応するセキュリテ…
侵害の痕跡を示す証拠。不審なIPアドレス・ドメイン・ファイルハッシュ・レジストリキー・ネットワークパターンなどが含まれる…
IDSの機能に加え、検知した攻撃をリアルタイムに自動遮断するシステム。インラインに設置され、悪意のあるトラフィックをブロ…
複数のセキュリティ製品からログを集約し、リアルタイム分析・相関分析・アラート生成を行うプラットフォーム。Splunk・M…
セキュリティ監視・インシデント検知・対応を24時間365日担当する組織・施設。SIEM・IDS/IPS・脅威インテリジェ…
関連するレッスン
組織を守る実践的な防御策を学ぶ