第六章 IDS後半
- 検知(NIDS)
- Pattern match
- Anormally detection
- protcol
- RFC違反の検出
- セッションハイジャック
- ソースIPを偽装
- DoS
- traffic
- 敷居値を決めておく
- connection
- SYN, FIN, RST
- UDP, ICMP
- application
- protcol
- stateful signature
- 通信のうち、必要な部分だけを対象としたパターンマッチ
- backdoor検出
- 通常は利用されないが、malwareでは利用されるportをチェックする
- 検知(HIDS)
- OSのログ
- systemのログ
- messagesとか
- Basic Security Module
- solarisとかが持つ機能
- system callなどの詳細なログをチェックできる
- Event Log
- できないもの
- 例えば、バッファオーバーフローによる不正ログインは検出できない。ログに出力されないため。
- この用途にはTripwireの方がよいらしい。
- IDSに対するDoS