IDS(Intrusion Detection System)

이번 게시물에서는 침입탐지 시스템에 대해 알아보자.

---

IDS

 

침입 탐지 시스템이란 침입 행위에 대한 탐지를 수행하고 탐지시 대응할 수 있도록 하는 일련의 시스템을 말한다.

이때, 침입이란 :

• 허가되지 않은 방법으로 내부 자원에 접근하는 것
• 불법적 데이터 도용 시도
• 관리자 권한 획득 시도
• Backdoor 접근 시도

등이 있다.

 

지난 게시물에서 인터넷의 모든 데이터는 패킷 형태로 되어 있고, 이를 주고 받음으로써 송수신하는 것이라고 언급했었다.

IDS는 패킷의 주소와 내부 파일을 검사하여 침입을 탐지하는 방식을 말한다. (패킷 내부를 확인)

---

여러 가지 Detection 방법

 

• Signature-based detection : 유형을 패턴화하여 detect
  • 알려진 공격들에 대한 빠른 대처가 가능하지만, 알려지지 않은 공격 방식들에 대해서는 대처하지 못한다.
  • 새로운 공격 유형이 발견될 때마다 Signature 생성이 필요하다.
  • False Negative Rate - 침입을 정상으로 판단하는 확률
• Anomaly-based detection : 정상 범위를 벗어나는 사건을 탐지
  • 딥러닝에 최적화되어 있다.
  • 정상이란 어떤 범위 내에서 발생하는 일들을 말함
• Network-based IDS → Network망 곳곳에 traffic을 모니터하고 분석하여 침입을 탐지
• Wireless IDS : 무선통신 WLAN network망의 traffic 분석, 와이파이 특징 이용
• Host-based IDS : 컴퓨터 내부 모니터링, 분석 → 악성 sw 탐지 용이, 단점 : 호스트마다 다름
• Distributed Host-based IDS : 여러 HIDS들이 연계하여 전체적으로 host들을 분석하여 탐지 (현재 나와 있는 제품이 없다) → 알약들이 서로 통신하는 느낌(하나가 감염되면 다른 것들도 위험하므로 그런 식으로 방지) → 효율적이고 정확성, 공격들의 연관 관계 파악 용이, HIDS보다 복잡하고 부담됨
• Honey Pot : 의도적으로 하나의 서버를 허술하게 만들어 해커의 침입을 유도하고, 해커의 정보를 수집해 공격 유형을 파악하며, 대응 전략 수립
• IPS : 침입 방지 시스템을 의미하며, 이를 위해 침입을 먼저 탐지해야 하므로 IDS에 침입 방지 기능이 합해진 것이라고 생각하면 된다. IDS로 침입을 탐지하고, 계정 / 연결 등을 차단

---

이상으로 여러 침입 탐지 / 침입 방지 시스템에 대해 알아보았다.

글을 마친다.