さいきんボットとかrootkit、バックドアとかも暗号通信へーきでしちゃうらしいけど、そうなるとネットワーク盗聴を行うIDSってのはお手上げっちゃお手上げですよね。
でも、最初の攻撃は暗号通信になることはほとんど無いだろうし、そこは捕捉できるのかな？暗号通信で攻撃を仕掛けるためには、そもそも暗号通信を始めますよ、と相手と握らないとならないわけだしねえ。
暗号通信の中で攻撃されてしまう場合は、いったん相手と暗号通信を開始すべく握ってからになるわけですね。てことはまず「握るのかどうか」というところで一個ハードルがあるのかな。握っても良い相手なのかどうか、吟味する、というところで。でも吟味ってできるのかなあ？ブラックリストを使う？いや、むしろホワイトリストを作っておけば、握らないで済むのかなあ。
暗号通信の場合、通信要求を受ける側、つまり攻撃されるかもしれない側は暗号通信に応じるための準備（専用ソフトウエアが起動してるとか）が必要なはずなので、そのソフトウエアのレベルでアクセス制御がでけてたら、そこで攻撃を受ける可能性をかなり減らすことができるのかな。
てことは、ネットワーク型IDSの問題ってのは結局ウイルス対策ソフトウエアの抱える問題と同じってことか。要するにシグネチャをベースにした検知手法では限界が見えている、ということですかね。でもそのシグネチャを、もっと応用の利く方法に変えることはできそうな気がするなあ。前にちょっとどこかで聞いたような、シグネチャとしてではなく「いわゆるシェルコード」を捕捉するものとかね。ウイルス対策ソフトウエアのように検体というかまさにそのもののファイルと寸分違わないものが来たときだけ検出、という方法論だと今後は厳しいけど、「いわゆる」という捉え方ができればもちっと状況はマシになってきそうな気がするんだけどなー。