안녕하세요 이번엔 저번 글에 이어 추가 내용을 써보자 합니다.
IDS의 실행 단계
HIDS에 간단한 설명과 더불어
NIDS 설치단
그리고 오용 탐지 이상 탐지에 대해 글을 써보겠습니다.
먼저 IDS 실행단계입니다.
간단하게 순서만 먼저 써보자면
데이터 수집 -> 데이터 가공 및 축약 -> 침입 분석 및 탐지 -> 보고 및 대응
순서입니다.
각 각 기능을 살펴보면
1. 데이터 수집 : 탐지 대상(시스템 사용내역 및 패킷)으로부터 생성되는 데이터를
수집하는 감사 데이터 수집
2. 데이터 가공 및 축약 : 수집된 감사 데이터를 침입 판정이 가능하도록 의미 있는
정보로 전환시키는 단계
3. 침입 분석 및 탐지 : 데이터를 분석하여 침입여부를 판단하며, 비정상적 행위 탐지 기법(비정상적인 행위) ,
오용 탐지 기법(취약점 버그) , 하이브리드 탐지 기법 등등이 있다.
4. 보고 및 대응 : 침입으로 판정된 경우 이에 대한 적절한 대응을 자동으로 취하거나
보안 관리자에게 침입 사실을 보고하여 조치.
등이 있습니다.
네트워크 기반 (NIDS)
- 네트워크 세그먼트당 하나의 감지기만 설치하면 되므로 설치 용이
- 네트워크를 통해 전송되는 정보(패킷 헤더, 데이터 및 트래픽 양, 응용프로그램
로그)를 분석하여 침입여부 판단.
- NIDS는 감지기가 promisecuous mode에서 동작하는 네트워크 인터페이스에 설치됨
장점
1. 트래픽을 몇몇 위치에만 설치하므로 초기 구축 비용이 저렴
2. 운영체제에 독립적이므로 구현 및 관리 쉬움
3. 캡처된 트래픽에 대해 침입자가 제거하기가 어려움.
4. 네트워크에서 발생하는 여러 유형의 침입을 탐지
5. 네트워크에서 개별 실행되어 개별 서버의 성능 저하가 없음.
단점
1. 암호화된 패킷을 분석할 수 없음
2. 고속 네트워크 환경에서는 패킷 손실률이 많아 탐지율이 떨어짐
3. 호스트 상에서 수행되는 세부 행위에 대해 탐지할 수 없음
4. 오탐률이 높음(False Positive)
호스트 기반(HIDS)
- 서버에 직접 설치하므로 네트워크 환경과 무관
- 호스트 시스템으로부터 생성되고 수집된 감사 자료(시스템 이벤트)를 침입
탐지에 사용하는 시스템
- 여러 호스트로부터 수집된 감사 자료를 이용할 경우 다중 호스트 기반이라고도 씀
장점
1. 정확한 탐지 가능, 침입 방지 가능 다양한 대응책 수행
2. 암호화 및 스위칭 환경에 적합
3. 추가적인 하드웨어가 필요하지 않음.
4. 트로이 목마, 백도어, 내부 사용자에 의한 공격 탐지 가능
단점
1. 각각의 시스템마다 설치해야 하므로 다양한 OS를 지원해야 함.
2. 해커에 의한 로그 자료의 변조 가능성 존재 및 DOS 공격으로 IDS 무력화 가능
3. 구현이 용이하지 않음.
4. 호스트 성능에 의존적이며, 리소스 사용으로 서버 부하 발생
NIDS의 위치
1. 패킷이 라우터로 들어오기 전 : 모든 공격을 탐지할 수 있지만 네트워크에
치명적인 공격에는 대처가 어렵다는 단점이 존재
2. 라우터 뒤 : 패킷 필터링을 거친 후의 패킷 탐지, 좀 더 강력한 의지가 있는
공격자 탐지 가능.
3. 방화벽 뒤 : 만약 침입 탐지 시스템을 설치한다면 이곳에 설치해야 함.
만약 한대만 설치할 수 있다면 이곳에 설치해야 함.
4. 내부 네트워크 : 방화벽은 침입을 일차적으로 차단하지만 내부에 대해서는
무방비 상태
5. DMZ : 아주 능력이 뛰어난 외부 공격자와 내부 공격자에 의해 중요 데이터
손실이나 서비스 중단을 막기 위함
설치 우선순위로는 3 -> 5 -> 4 -> 2 -> 1
HIDS는 특별한 위치는 없으며 보통 중요한 시스템에 설치(웹서버, 모든 서버 설치하려고 하면 관리 비용이 많이 듦)
----------------------------------------------------------------------------------
오용탐지 및 이상탐지 설명 및 비교
https://didimdol20.tistory.com/62
오용탐지 / 이상탐지 설명 및 종류 비교 / False Positive or Negative
안녕하세요 오늘은 침입탐지 시스템(IDS) 설명 마지막인 오용 탐지와 이상 탐지의 종류 및 설명을 드리려고 합니다. 혹시라도 그 전의 내용이 궁금하시다면 아래 링크 남겨두겠습니다. 침입탐지�
didimdol20.tistory.com
2010-06-11 수정
----------------------------------------------------------------------------------
오늘은 이상으로 마치겠습니다.
감사합니다.
'공부 > 보안기사' 카테고리의 다른 글
| 오용탐지 / 이상탐지 설명 및 종류 비교 / False Positive or Negative (0) | 2020.06.11 |
|---|---|
| 침입탐지 시스템(IDS) 간단한 설명 (0) | 2020.06.09 |
| TCP / UDP 차이점 및 워터링 홀(Watering Hole) 공격 (0) | 2020.05.27 |
| 유닉스 / 리눅스 명령어 chmod / chown / chgrp 비교 및 umask (0) | 2020.05.26 |