침입탐지시스템 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
1번째 줄: 1번째 줄:
[[분류:보안]]
[[분류:보안]][[분류:보안 도구]][[분류:정보보안기사]]
[[분류:보안 도구]]
[[분류:정보보안기사]]
==개요==
==개요==
 
* '''I'''ntrusion '''D'''etection '''S'''ystem('''IDS''')
*'''I'''ntrusion '''D'''etection '''S'''ystem('''IDS''')
* 네트워크 또는 호스트로의 비정상적인 접근을 탐지하는 시스템
*네트워크 또는 호스트로의 비정상적인 접근을 탐지하는 시스템


==긍정오류와 부정오류==
==긍정오류와 부정오류==
IDS와 같이 탐지만을 하는 시스템이 있는 이유는 오류는 탐지란 것이 완벽할 수 없기 때문이다.  
IDS와 같이 탐지만을 하는 시스템이 있는 이유는 오류는 탐지란 것이 완벽할 수 없기 때문이다.  
 
* 오탐(False Positive) : 정상적인 접근을 비정상적인 접근이라고 잘못 판단
*오탐(False Positive) : 정상적인 접근을 비정상적인 접근이라고 잘못 판단
* 미탐(False Negative) : 비정상적인 접근을 정상적인 접근이라고 잘못 판단
*미탐(False Negative) : 비정상적인 접근을 정상적인 접근이라고 잘못 판단


==실행 4단계==
==실행 4단계==
 
# 데이터 수집(Raw Data Collection)
#데이터 수집(Raw Data Collection)
# 데이터 가공 및 축약(Data Reduction and Filtering)
#데이터 가공 및 축약(Data Reduction and Filtering)
# 침입 분석 및 탐지(Intrusion Analysis and Detection)
#침입 분석 및 탐지(Intrusion Analysis and Detection)
# 보고 및 대응(Reporting and Response)
#보고 및 대응(Reporting and Response)


==탐지방법에 의한 분류==
==탐지방법에 의한 분류==
===지식기반 침입탐지===
===지식기반 침입탐지===
;Knowledge-based Detection
;Knowledge-based Detection
 
* aka. 오용탐지(Misuse Detection) 이라고도 부른다.
*aka. 오용탐지(Misuse Detection) 이라고도 부른다.
*비정상 행위에 대한 패턴을 입력하여 일치하는 패턴을 탐지한다.
*비정상 행위에 대한 패턴을 입력하여 일치하는 패턴을 탐지한다.
**전문가 시스템(Expert System)
**전문가 시스템(Expert System)
37번째 줄: 30번째 줄:


===행위기반 침입탐지===
===행위기반 침입탐지===
;Anomaly Detection; 이상탐지
;Anomaly Detection; 이상탐지
*정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상을 구분한다.
*정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상을 구분한다.
**통계적 분석
**통계적 분석
54번째 줄: 45번째 줄:
==데이터 수집원에 의한 분류==
==데이터 수집원에 의한 분류==
===네트워크 기반 IDS===
===네트워크 기반 IDS===
 
; Network Based IDS(N-IDS)
;Network Based IDS(N-IDS)
 
IDS장비를 네트워크 앞단에 설치해 두고 네트워크에서 오가는 트래픽들을 분석
IDS장비를 네트워크 앞단에 설치해 두고 네트워크에서 오가는 트래픽들을 분석
 
* '''특징'''
*'''특징'''
**네트워크 전체를 몇개의 감지기를 통해 커버하므로 비용이 저렴하다.
**네트워크 전체를 몇개의 감지기를 통해 커버하므로 비용이 저렴하다.
**운영체제에 독립적이다.
**운영체제에 독립적이다.
68번째 줄: 56번째 줄:


===호스트 기반 IDS===
===호스트 기반 IDS===
 
; Host Based IDS(H-IDS)
;Host Based IDS(H-IDS)
 
특정 호스트시스템에서 수집된 감사자료를 분석하고 비정상 행위를 탐지
특정 호스트시스템에서 수집된 감사자료를 분석하고 비정상 행위를 탐지
*'''특징'''
*'''특징'''
**탐지가 정확하다. N-IDS와 다르게 모두 복호화된 데이터를 분석하고 패킷의 손실도 없다.
**탐지가 정확하다. N-IDS와 다르게 모두 복호화된 데이터를 분석하고 패킷의 손실도 없다.
80번째 줄: 65번째 줄:
**구현이 어렵다.
**구현이 어렵다.


==다중 호스트 기반 IDS==
==다중 호스트 기반 IDS ==
 
; Multi-Host Based IDS
;Multi-Host Based IDS
 
여러 호스트 시스템을 종합적으로 분석하여 비정상 행위를 탐지
여러 호스트 시스템을 종합적으로 분석하여 비정상 행위를 탐지
* H-IDS에 N-IDS적인 성격을 더한 IDS
* 대상 호스트들에 Agent를 설치하고, 대상 호스트들이 속한 네트워크에 종합 분석용 서버를 둔다.
* 서버에선 여러 호스트들에서서 수집된 자료들을 종합적으로 분석한다.
* 여러 호스트를 통하여 침입이 이루어지는 것을 탐지할 수 있다.
* 다중 H-IDS와 구분하여 일반 H-IDS를 단일 호스트 기반 IDS이라고 부르기도 한다.


*H-IDS에 N-IDS적인 성격을 더한 IDS
== 기타 ==
*대상 호스트들에 Agent를 설치하고, 대상 호스트들이 속한 네트워크에 종합 분석용 서버를 둔다.
* '''상태 추적 기능(Stateful Inspection)'''
*서버에선 여러 호스트들에서서 수집된 자료들을 종합적으로 분석한다.
** 패킷 필터링의 단점인 세션(session)에 대한 추적 기능을 보완한다.
*여러 호스트를 통하여 침입이 이루어지는 것을 탐지할 수 있다.
** 메모리상에 상태 추적 테이블을 만들어 단일 패킷이 아닌 뒤따르는 커넥션을 종합하여 평가한다.
*다중 H-IDS와 구분하여 일반 H-IDS를 단일 호스트 기반 IDS이라고 부르기도 한다.
** 이스라엘 보안업체인 checkpoint 사에서 최초로 개발한 기능으로, 요즘은 대부분의 IDS에서 제공한다.
 
* '''스텔스(Stealth)모드 침입탐지 시스템'''
== [[침입차단시스템|침입차단시스템(IPS)]]와의 차이 ==
** 침입자로부터 침입탐지 장비의 존재를 숨기기 위한 구성  
{{침입탐지시스템과 침입차단시스템}}
** 대부분의 네트워크 기반 IDS는 네트워크 인터페이스 카드가 2개 이상으로 구현되어 있음
 
** 이중에 네트워크에서 패킷 캡쳐하는 네트워크 인터페이스 카드에 IP 주소를 가지지 않게 구성하는 것
==기타==
** IP 주소를 가지지 않으므로 침입탐지시스템 자체가 네트워크상에 노출되지 않음
 
** 즉, 침입탐지시스템 자체가 침입 및 공격의 대상 또는 목표가 되는 것을 방지하는 방법
*'''상태 추적 기능(Stateful Inspection)'''
** 다른 쪽 네트워크 인터페이스 카드에는 IP를 할당하여 내부망(관리망)으로 연결하여 IDS를 관리
**패킷 필터링의 단점인 세션(session)에 대한 추적 기능을 보완한다.
**메모리상에 상태 추적 테이블을 만들어 단일 패킷이 아닌 뒤따르는 커넥션을 종합하여 평가한다.
**이스라엘 보안업체인 checkpoint 사에서 최초로 개발한 기능으로, 요즘은 대부분의 IDS에서 제공한다.
*'''스텔스(Stealth)모드 침입탐지 시스템'''
**침입자로부터 침입탐지 장비의 존재를 숨기기 위한 구성
**대부분의 네트워크 기반 IDS는 네트워크 인터페이스 카드가 2개 이상으로 구현되어 있음
**이중에 네트워크에서 패킷 캡쳐하는 네트워크 인터페이스 카드에 IP 주소를 가지지 않게 구성하는 것
**IP 주소를 가지지 않으므로 침입탐지시스템 자체가 네트워크상에 노출되지 않음
**즉, 침입탐지시스템 자체가 침입 및 공격의 대상 또는 목표가 되는 것을 방지하는 방법
**다른 쪽 네트워크 인터페이스 카드에는 IP를 할당하여 내부망(관리망)으로 연결하여 IDS를 관리
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)