という訳で、本日も少しだけ勉強を継続。IDS＝侵入検知システム、IPS＝侵入防止システム。前者は検知のみなのに対し、後者は防止つまり遮断も可能。いずれもネットワーク型とホスト型があり、ネットワーク型はネットワークに設置する機器タイプ、ホスト型はホスト側にインストールされるソフトウエアタイプ。NIDSはスイッチングハブのミラーポートに接続するのに対し、NIPSはFWとスイッチングハブに挟み込むように設置する。検出方式として覚えなくてはいけないワードが2つ。フォルスポジティブ（誤検知）とフォルスネガティブ（見逃し）。前者が統計的にはTypeⅠエラー（α）で後者がTypeⅡエラー（β）だと思うと覚えやすい。もう一つ覚えておかなければいけないのが、過負荷状態での振る舞いの違い。NIDSはフレームを調べきれずに捨ててしまうためフォルスネガティブが増える。一方でNIPSは必ず通過しなければいけないため、ネットワークのスループットが低下する。

あと、関連するキーワードはハニーポット。一番わかり辛いのが「何のために設置するのか？」なのだけど、攻撃を分析するため。それは攻撃のパターン、シグネチャファイルを作るためと覚えておくのが良いらしい。