침입탐지시스템 (Intrusion Detection System)

침입탐지시스템

• 네트워크 또는 호스트로의 비정상적인 접근을 탐지하는 시스템
• 기밀성, 무결성, 가용성을 침해하고 보안 정책을 위반하는 침입 사건을 사전 또는 사후에 탐지하는 보안 시스템
• False Positive : false(+)으로 표현, 공격이 아닌데도 공격이라고 오판하는 것
• False Negative : false(-)으로 표현, 공격이지만 공격이 아니라고 오판하는 것

오용 탐지(Misuse)

• 침입 패턴 정보를 데이터베이스화 하여 사용자 혹은 침입자의 네트워크 및 호스트 활동기록과 비교하여 동일하면 침입으로 판단하는 것.
• 오탐률이 낮지만 새로운 공격에 대한(데이터 베이스에 등록되지 않은) 침입을 사전에 탐지하지 못한다.

이상 탐지(Anomaly)

• 이상 탐지는 정상 패턴을 저장하고 정상과 다른 활동이 탐지되면 차단하는 방법.
• 새로운 공격에 대해 사전에 탐지할 수 있는 장점을 가지고 있지만, 오탐률이 높다.

침입탐지시스템의 분류

NIDS(Network based IDS)

• 네트워크에서 전달되는 패킷을 검사
• 방화벽 외부의 DMZ나 방화벽 내부 네트워크 모두 배치 가능
• 스캐닝, DoS공격 등 탐지 가능
• 네트워크 자원의 손실 및 패킷의 변자가 없으며 실시간 탐지가 가능
• 추가적인 장치가 필요하며 암호화된 패킷은 분석이 불가능

HIDS(Host based IDS)

• 시스템상에 설치되어 사용자가 시스템 내에서의 행위 파일의 체크를 통해 침입을 판단
• 주로 웹 서버, DB 서버 등의 중요 서버에 배치
• 침입 성공 여부 식별이 가능하며 설치 및 관리가 용이