また、ルータやファイアウォールとの連係が可能なものもある。IDSには、大きく分けてネットワーク監視型とホスト監視型の二つの種類がある。ネットワーク監視型はポートスキャン攻撃やDoS攻撃といったパケット・レベルの攻撃に対して効果がある。逆にホスト監視型は、ユーザの行動を監視し不正行為を見破ることができる。

ア　ネットワーク監視型

ネットワーク監視型は、監視範囲を流れるパケットを監視し、その正当性を判断する。監視対象となるマシン上で動作し、そのマシンに対するトラフィックを監視するものや、監視用の機器をセグメントに用意し、セグメント上を流れるパケットを監視するものがある。ネットワーク監視型はパケットのヘッダやデータ領域を監視するので、ポートスキャン攻撃やDoS攻撃を発見することができる。逆に、流れるパケットに異常がないなりすましの発見は困難である。

　

lDS(ネットワーク監視型)

　

イ　ホスト監視型

ホスト監視型は、重要なデータを保管しているファイル・サーバなどの特定のマシン上でユーザの行動を監視する。ホスト監視型では、エージェント」と呼ばれる監視プログラムを監視対象となるサーバに導入し、その対象となるサーバに対するユーザの不審な行動を監視する。この方法では、例え正規ユーザであっても、システム・ファイルなどの書き換えなどの不審な行動をとった場合には不正アクセスとして判断するため、なりすましにも対処できる。ホスト管理型では、パケット・レベルでの不正アクセス(ポートスキャン、DoS攻撃など)には基本的に対処できない。

前ページ　　　目次へ　　　次ページ