侵入検知システム（IDS）はどのように機能しますか？

通常、IDSにはネットワークベースとホストベースの2種類があり、これらはシグネチャまたは統計応答タイプです。

Signature IDSはシンプルで高速で、簡単に更新できます。通常、ベンダーはシグネチャファイルを提供します-ウイルス対策ベンダーがウイルスシグネチャを提供する方法と同様です。このため、ほとんどのIDSは署名認識を使用しています。欠点は、既存の攻撃と一致するシグネチャがない限り、新しい攻撃を識別しないことです。

統計またはヒューリスティックIDS「正常」または通常のトラフィックがどのように見えるかを学習し、正常でないものについて警告します。これは、新しい攻撃を発見するのに優れていることを意味しますが、最初にインストールして定期的に新しいサーバー、サービスの実装、および新しいトラフィックタイプまたはボリュームが予想される場合は、学習期間を必要とします。

ネットワークベースのIDSは通常、組織の境界で実装され、組織に入る（および場合によっては出る）すべてのトラフィックを可視化します。トラフィックに悪意のある可能性があることが示されている場合、トラフィックはログに記録されるか、応答システムまたはユーザーにフラグが立てられます。

大規模な組織では、さまざまな有効なトラフィックタイプの量が非常に多くなる可能性があり、トラフィックタイプは時間の経過とともに変化する可能性があるため、境界ネットワークベースのIDSの継続的な構成と調整は多くのリソースを消費する可能性があります。このため、大企業の大半は、これを多くの組織にサービスを提供するベンダーに外部委託しています。これらのベンダーは、発生している攻撃の可視性が向上し、チューニングと応答におけるスケールの利点があり、すべてのクライアントのシグネチャを一度に更新できます。

ホストベースのIDSは、通常、特定の高価値サーバーに対して社内で実装されます。トラフィックのタイプと負荷は通常、はるかに低く予測可能であるため、リソース要件は通常低くなります。

この質問 -異常に基づく（統計）IDSについての議論もご覧ください。