情報セキュリティにおける侵入検知システムの種類は何ですか？

侵入検知システム（IDS）は、インバウンドおよびアウトバウンドのネットワークトラフィックを監視し、パターンの変化についてイベントを継続的に分析し、異常な動作を識別したときに管理者に警告するアプリまたはデバイスです。管理者はアラームを確認し、脅威を削除するためのアクションを実行できます。

たとえば、IDSは、ネットワークトラフィックによって運ばれるデータを検査して、既知のマルウェアやその他の悪意のあるコンテンツが含まれているかどうかを確認できます。このタイプの脅威を特定できる場合は、セキュリティチームにアラートを送信して、セキュリティチームが調査および修正できるようにします。チームはアラートを受信するため、攻撃によるシステムの乗っ取りを防ぐために迅速に行動する必要があります。

ネットワークベースの侵入検知システム（NIDS）では、センサーは監視対象のネットワークのチョークポイントに配置されます。多くの場合、非武装地帯（DMZ）またはネットワークの境界に配置されます。センサーは一部のネットワークトラフィックをキャプチャし、悪意のあるトラフィックの排他的パケットの内容を分析します。

システムでは、PIDSとAPIDSを使用して、トランスポートとプロトコルの違法または不適切なトラフィックまたは言語の構成（SQLなど）を監視します。ホストベースのシステムでは、センサーには通常、ソフトウェアエージェントが含まれています。ソフトウェアエージェントは、センサーがインストールされているホストのアクティビティを監視します。これら2つのシステムのハイブリッドも発生します。

• ネットワーク侵入検知システムは、ネットワークトラフィックを判別して侵入を識別し、複数のホストを監視する独立したプラットフォームです。 NetworkIntrusion Detection Systemsは、ハブ、ポートミラーリング用に構成されたネットワークスイッチ、またはネットワークタップにリンクすることにより、ネットワークトラフィックにアクセスします。 NIDSisSnortのインスタンス。

• プロトコルベースの侵入検知システム（PIDS）には、通常はサーバーのフロントエンドに配置され、接続されたデバイス（ユーザー/ PCまたはシステム）間の通信プロトコルを監視および分析できるシステムまたはエージェントが含まれます。

  Webサーバーの場合、これは通常、HTTPSプロトコルストリームを監視し、保護しようとしているWebサーバーに対応するHTTPプロトコルを理解できます。 HTTPSが使用されている場合、このシステムは、HTTPSが暗号化されていない場所の「シム」またはインターフェイスに存在し、Webプレゼンテーション層に入る直前に存在する必要があります。

• アプリケーションプロトコルベースの侵入検知システム（APIDS）には、一般に一連のサーバー内に配置され、アプリケーション固有のプロトコルでの通信を監視および分析できるシステムまたはエージェントが含まれます。データベースを備えたWebサーバーでは、データベースで実行するミドルウェア/ビジネスロジナに固有のSQLプロトコルを監視できます。

• ホストベースの侵入検知システム（HIDS）には、システムコール、ソフトウェアログ、ファイルシステムの変更（バイナリ、パスワードファイル、機能データベース）、および複数のホストアクティビティと状態を分析することによって侵入を識別するホスト上のエージェントが含まれます。 HIDSのインスタンスはOSSECです。

• ハイブリッド侵入検知システムは、複数のアプローチを組み合わせています。ホストエージェントデータはネットワークデータと組み合わされて、ネットワークの包括的な外観を形成します。ハイブリッドIDSのインスタンスはプレリュードです。