Chhapter5 続き

• NIDS: capture -> pre-processor -> pattern matching -> output
  • pattern matchとかsignatureだけでは対応できないタイプの攻撃を検知するのがpre-processor
• ルールファイル
  • 不正アクセスの種別毎にシグネチャを持つ
  • ftp用とか、DoS用とか
• 物によってはRSTを送りつけてコネクションを切断するIDSもある
• 不正検知(misuse detection) -> signature
• 以上検知(anomaly detection) -> 統計
• 可用性を支える物
  • 信頼性 Reliability
  • 冗長性 Redundancy -> fault tolerant 耐障害性
  • 保守性 Service Ability
• contingency plan: 危機管理計画（なんか違うんだけどなあ）
• インシデント対応
  • 応急対応
    • 手順確認
    • 責任者、担当者への連絡
    • 作業記録 誰がなにをやったかを記録に残す -> 関係機関への連絡
      • 日付
      • 場所、システムの特色
      • 攻撃方法の特定
      • 攻撃者の身元確認可能なツールを使用しているか？
      • 被害とか損害とか
    • システムの復旧
    • 応急対応結果の報告

• なんかしっくり来ないなあ。浅くしか説明してない内容だけでそれっぽく説明用としているから、余計無理がかかっているとしか思えない。