ネットワークスペシャリスト試験の午後問題でIDS/IPSの問題が出題されて無事コテンパンにやられたので復習します。

IDS/IPSのパターン検出方法

2つのパターン検出方法があります。
シグネチャベース検出
既知の攻撃パターンや特徴に基づいて不正アクセスや攻撃を検出する方法です。既知の攻撃に対しては高い精度で検出することができ、比較的容易に導入することができます。しかし、未知の攻撃に対してはシグネチャが存在せず検出で着ない場合があります。また、シグネチャは更新しないと新たな攻撃に対応できないため定期的なシグネチャの更新が必要となります。

アノマリベース検出
プロトコルの仕様などから逸脱したアクセスがあった場合に不正と見なす検出方法です。アノマリベースは未知の攻撃に対しても不正アクセスを検出できる可能性が高く、シグネチャの更新も必要ありません。パケットの通常の振る舞いからの逸脱を検出しているため、正常な通信でも異常なトラフィックと判断して遮断してしまう可能性があります（フォールスポジティブ）。逆に、異常な通信を正常な通信だと検出してしまう可能性もあります（フォールスネガティブ）。

IDS（Instrusion Detection System）

侵入検知システムで不正アクセスや悪意のあるトラフィックを検知してメールなどで通知する。接続方法は、一般的にプロミスキャスモードでネットワークに接続する。インラインモードと違い通信経路上にはIDSを配置せず、スイッチのミラーポートに接続しそこから複製されたパケットを解析する。

IPS（Instrusion Prevection System）

侵入防止システムで、不正アクセスや悪意のあるトラフィックを検知して防止する機能を持っています。接続方法は、一般的にインラインモードで通信経路上にIPSを配置します。