PR

 悪意のあるアクセスを検出・遮断する仕組みのこと。まず、侵入を検出して警告を出したりログを残したりする製品がIDS( Intrusion Detection System)として登場。次いで、IDSで検知した情報を基に攻撃を遮断するIPS( Intrusion Prevention System)に発展した。

 次々と到着するパケットに悪意のあるプログラム・コードがあるかどうかを検査し、悪意のあるコードを含むTCP/IPの通信路(セッション)を遮断する。製品としては、サーバー向けソフトウエアやトラフィックを監視するアプライアンス・サーバーがある。

 基本的な機能としては、(1) 特徴(シグネチャ)データベースに一致するテキストや攻撃に使われるバイナリを含むパケットを破棄する機能と、(2) 通信プロトコルの規約から外れた通信プロトコル・データを含むパケットを検知・破棄する機能の大きく2つある。

 前者はウイルス対策ソフトと同様に、攻撃コードのパターン・ファイルと、パケットに含まれるデータを照合する。複数のパケットに分かれている場合は、アプリケーションごとにデータの開始点と終了点を判別しながら、元のデータを組み立ててから照合する。シグネチャと一致した場合に通信を遮断する。パケット群から通信制御データやアプリケーション・データを復元するため、製品によってはスループットが大きく落ち込むことがある。

 後者は「アノーマリ検出」と呼ばれる手法である。プロトコルやアプリケーションごとに、正常動作時のやり取りやデータはほぼ決まっている。そこから外れた振る舞いをする通信を、異常と見なして遮断する。ネットワークを流れるパケット数やプロトコルの使用状況の統計データを正常状態とし、そこから外れた通信を悪意のある攻撃と見なす「統計的アノーマリ検知」機能を持つ製品もある。