[23] 침입탐지시스템(IDS)
9/07/2017 08:50:00 오후p.477
침입탐지시스템(IDS)
자원의 무결성, 비밀성, 가용성을 저해하는 비정상적인 행위를 실시간으로 탐지하여 관리자에게 경고 메시지를 보내주고 대응하는 시스템을 의미한다.외부침입에 대한 정보를 수집하고 분석하여 침입활동을 탐지해 이에 대응하도록 보안담당자에게 통보하는 기능을 수행한다.
IDS에 대한 장점과 단점
탐지방법에 대한 분류
1) 지식기반/오용 침입탐지(Knowledge Based Detection)
특정 공격에 관한 분석 결과를 바탕으로 패턴을 설정
패턴과의 비교를 통해 일치한 경우 불법 침입으로 간주하는 방법.
■ 장점
오탐률이 낮음
전문기사스템 (추론기반, 지식베이스)에 이용
트로이목마, 백도어 공격탐지 가능
■ 단점
새로운 공격탐지를 위해 지속적인 공격패턴 갱신 필요
패턴에 없는 새로운 공격은 탐지 불가
대량의 자료 분석 불가 (속도문제)
2) 행위기반/비정상행위 침입탐지(Anomaly Detection)
사용자의 행동양식을 분석한 뒤, 정상행동에 비교해 이상행동, 급격한 변화 발견시 탐지
하는 방법
정량적인 분석, 통계적 분석
형태 관찰, 프로파일 생성, 프로파일 기반 이상 확인
■ 장점
인공지능 알고리즘 사용으로 스스로 판단, 지속적인 패턴 업데이트 불필요
알려지지 않은 새로운 공격 탐지 가능
■ 단점
오탐률이 높다.
정상, 비정상 구분을 위한 임계치 설정이 어렵다.
데이터 수집원에 따른 분류
1) 호스트 기반 IDS (Host-based IDS)
서버에 직접 설치되는 IDS
■ 장점
기록되는 로그자료를 통해 정확한 탐지 가능
호스트에 대한
트로이목마, 백도어, 내부자에 의한 공격탐지/.차단 가능
■ 단점
해커에 대한 로그기록 변조가능, Dos 공격으로 IDS 무력화 가능
호스트 서버 성능에 의존, 리소스 사용으로 서버부하 발생
2) 네트워크 기반 IDS (Network-based IDS)
네트워크 서그먼트당 하나의 감지기만 설치하므로 되므로 설치 용이
■ 장점
개별서버의 성능 저하 없음
여려 유형의 침입 탐지
IDS공격에 대한 방어가 가능하고 IDS 존재 유무도 은닉가능
■ 단점
트래픽 증가로 인해서 네트워크 성능 문제 발생
오탐률이 높다
네트워크 패킷이 암호화되어 전송될때 탐지 불가능
0 개의 댓글