> 침입탐지시스템에 대해
- 침입탐지시스템(IDS ; Intrusion Detection System)
-- 시스템에 대한 인가가 되지 않은 행위와 비 정상적인 행동을 탐지하여 관리자에게 알려 주는 시스템
-- 수행 단계 : 정보수집 -> 정보 가공 및 축약 -> 침입분석 및 탐지 -> 보고 및 조치
-- 일반적으로 침입 차단시스템(Firewall)과 결합하여 많이 사용됨
- IDS의 유형(데이터 소스 기준 IDS 시스템 분류)
-- 호스트 기반 IDS(HIDS ; Host Intrusion Detection System)
--- 각 호스트 내에서의 운영체제 감사자료와 시스템 로그 등을 통해 침입탐지를 하는 시스템
--- 감시 대상이 되는 서버에 각각 설치를 해야 함
--- NIDS(Network Intrusion Detection System)에서 탐지 불가능한 침입을 탐지 가능 / 추가적인 하드웨어의 구매가 필요 없기에 상대적으로 저렴함
--- 호스트의 자원을 점유하며 운영체제 자체가 취약할 경우 보안을 보장하기 힘듬
-- 네트워크 기반 IDS(NIDS ; Network Intrusion Detection System)
--- Promiscuous 로 동작하는 NIC를 통해 네트워크 패킷을 캡처 후 분석을 통한 침입탐지를 하는 시스템
--- 보통 Switch에서 업링크(작은 네트워크(Switch)에서 큰 네트워크(Router)로 연결되어 연결되는 포트)된 포트에 미러링을 구성하는 방식을 사용
- IDS의 유형(침입탐지 판정 원리에 따른 분류)
-- 오용탐지(Misuse Detection)/지식기반 침입탐지라고도 함
--- 정해진 공격 모델과 일치하는 경우를 침입으로 간주
-- 비정상행위탐지(Anomaly Based)/행위기반 침입탐지라고도 함
--- 정해진 모델을 벗어나는 경우를 침입으로 간주
> False Positive / Negative
- False Positive(오탐)
-- 정상을 악의적인 것으로 판단
- False Negative(미탐)
-- 악의적인 트래픽을 정상으로 판단
> 보안 장비간 비교
댓글 없음:
댓글 쓰기