침입탐지 시스템(IDS) 간단한 설명

안녕하세요 오늘은 침입 방어에 대한 시스템 중 침입탐지 시스템(IDS)을 알아보려고 합니다.

그중 오용 탐지와 이상 탐지의 차이점을 중점으로 두려고 합니다.

공부를 제대로 해놓은 상태에서 혹시라도 해당 주제에 대한 문제를 보면

아주 쉽게 맞으실 수 있는데요.

저는 대략으로 공부하다 보니, 가끔 틀리는 부분입니다. ㅜㅜ

 

아마 공부하시다 보면 아래 세 가지를 보시게 될 것입니다.

침입 차단시스템(방화벽) 침입탐지 시스템(IDS) 침입방지 시스템(IPS)

 

 

침입탐지 시스템은 대상 시스템에서 허가되지 않거나 비정상적인 행위에 대하여

탐지 또는 식별을 통해 실시간으로 침입을 탐지하고 보고하는 기능의 소프트웨어입니다.

침입 탐지 시스템은 침입을 시도 하너나 침입 행위가 일어나거나

발생한 것을 확인을 하는 절차라고 정의되어 있습니다.

(- 사실 정의 부분은 쓸지 말지 고민하였으나 혹시라도 정의를 쓰시려는 분들이

두 번 검색하지 않게 하기 위해... 혹시라도 없어도 된다고 생각하시면

댓글로 의견을 남겨주시면 참고하겠습니다.)

 

  실제로 방화벽이 차단할 수 있는 공격이

절반도 되지 않은 약 30%밖에 되지 않는다고 하는데요.

이러한 단점을 보완하기 위해 침입 탐지 시스템(IDS = intrusion Detection System)입니다.

침입 탐지 시스템은 네트워크에서 백신과 유사한 역할을 하는데요. 네트워크를 통한 공격을 백신처럼

탐지를 하는 기능이 있습니다.

(백신이 실시간으로 탐지하는 것처럼 말이죠)

 

 

침입 탐지 시스템의 종류로는

호스트 기반의 침입탐지 시스템(HIDS)

네트워크 기반의 침입탐지 시스템(NIDS)이 있습니다.

이 둘의 대한 내용은 다음에 기회가 되면 다시 올리도록 하겠습니다.

 

침입 탐지 시스템의 장단점은 다음이 있습니다.

 

 

침입 탐지 시스템의 주요 기능은 다음이 있습니다.

 

- 데이터의 수집

 

HIDS

- 윈도우나 유닉스 등의 운영체제에 부가적으로 설치되어 운용되거나 클라이언트에 설치

- 네트워크에 대한 침입탐지는 불가능하며 스스로가 공격 대상이 될 때만 침입을 탐지할 수 있음.

- 사용자 계정에 따라 어떤 사용자가 접근을 시도하고 어떤 작업을 했는지 기록 남기고 추적

 

NIDS

- 네트워크에서 하나의 독립된 시스템으로 운용

- 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않음.

- HIDS로는 할 수 없는 네트워크 전반에 대한 감시를 할 수 있으며 감시 영역이 상대적으로 매우 큼

 

------------------------------------------------------------

HIDS / NIDS 설명에 관한 글은 아래 링크 남겨두겠습니다.

https://didimdol20.tistory.com/61

HIDS(호스트기반) / NIDS(네트워크기반) 설명 / IDS 실행 단계

2020-06-10 수정

--------------------------------------------------------------------

 

- 데이터의 필터링과 축약

IDS에 의해 수집된 각종 데이터들을 통해 효과적으로 대응하기 위해 데이터 필터링과 축약 기능이 필요하다

 

 

- 침입 탐지

침입 탐지 기법에는 오용 탐지(Misuse Detecion)와 이상 탐지(Anormaly Detection)로 나뉜다.

 

오용 탐지

오용 탐지 기법은 이미 발견되고 적립된 공격 패턴을 미리 입력해두었다가

이에 해당하는 패턴이 탐지되면 알려주는 것이다.

비교적 오판율이 낮고 효율적이지만 알려진 공격 이 외에는 탐지할 수 없고

대량의 데이터를 분석하는 것은 부족하다.

즉 제로데이 공격에는 취약한 단점이 있다.

 

이상 탐지

이상 탐지 기법은 정상적이고 평균적인 상태를 기준으로 하여, 이에 상대적으로

급격한 변화를 일으키거나 확률이 낮은 일이 발생하면 침입 탐지로 보는 것이다.

 

--------------------------------------------------------------------------------

오용 탐지 및 이상 탐지 설명 및 비교

https://didimdol20.tistory.com/62

오용탐지 / 이상탐지 설명 및 종류 비교 / False Positive or Negative

2020-06-11 수정

------------------------------------------------------------------------------------------------

 

- 책임 추적성 및 대응

과거 침입 탐지 시스템은 능동적인 기능이 별로 없고 공격을 발견하면 관리자에게 알람이나

기타 방법으로 알려주는 정도였지만 최근에는 침입자의 공격을 역추적하고 침입자의 시스템이나

네트워크를 사용하지 못하게 하는 능동적인 기능이 많이 추가되었다.

 

능동적인 기능을 많이 탑재하여 실제로 차단하는 기능을 가진 시스템을 침입 방지 시스템(IPS)이

있는데 해당 내용은 다음에 작성하도록 하겠습니다.

 

 

 

오늘은 간단하게 침입탐지 시스템을 알아보았습니다.

원래는 계획했던 것을 하려다 보니, 정보들이 많아지고 쓸 내용들이 많아지더라고요.

해당 내용만 알기 위해 검색하신 분들이 불편할 수도 있다는 생각이 들어

해당 부분은 나누어서 해볼까 합니다.

조금만 했는데도 이렇게 차 버리네요...

물론 이후 작성하고 나서 해당 링크를 아래 추가해놓도록 하겠습니다.

 

오늘은 이상으로 마치겠습니다. 

감사합니다.