従来型IDSの限界を説いたSnortの生みの親。豚の鼻は利きすぎるってことかな。実際、ISSのRealSecureなんかだと対象となるOSを選択することでポリシーのチューニングは可能なんだけど、それを自動でやってくれない、つまりトポロジを判断してポリシーを設定出来ない問題があって、結局、OSやハードウェア、動作しているソフトウェアなどを総合的に理解出来ていないとポリシーのチューニングが非常に難しいという問題がありますね。
IDSの初期設定でネットワークの構成とかを登録出来て、そこからポリシーのテンプレートを自動生成出来るようになれば良いんだけど。
ネットワーク型IDSの限界
未分類