[컴퓨터 보안] 호스트 기반 침입 탐지 시스템(HIDS) 이란?

-

호스트 기반 침입 탐지 시스템(HIDS) 이란?


호스트 기반 침입 탐지 시스템(HIDS) 


1. 호스트 기반 침입 탐지 시스템이란?
HIDS는 취약하거나 민감한 시스템의 보안 소프트웨어에 레이어를 추가하여 이루어 진다. 예를 들어 데이터 베이스 서버 및 관리 시스템이 있다. HIDS는 의심스러운 동작을 검출 하기 위해 다양한 방법으로 활동을 감시한다. 장점으로는 시스템 외부와 내부 모두 감지를 할 수 가 있다.


2. HIDS가 수집하는 데이터
1. 시스템 호출 추적 : 시스템 프로세스에 의해서 시스템 작동 순서 기록이 남는다. 이 때 HIDS의 데이터에서 확인 한다. 여기서 재밌는게 유닉스, 리눅스는 시스템 호출이 잘되는데 윈도우즈는 특정한 프로시저들은 DLL의 방해를 받아서 문제가 생긴다.

2. 로그 기록 : 운영체제에는 사용자의 활동 정보를 수집하는 회계 소프트웨어가 있다. 로그 기록은 이론상 침입 탐지를 위해서 사용하지만 컴퓨터 보안에서 더욱 사용 된다.

3. 파일의 무결성 체크섬(check sum) : 정기적으로  파일을 검사하고 암호화 된 체크섬을 비교하여 변화된 값이 있는 지 확인 한다.

4. 레지스트리 접근 : 레지스트리에 접근해서 모니터링으로 체크한다.


3. 이상 탐지 기반 HIDS
유닉스나 리눅스 시스템에서 수집된 데이터를 사용하여 회계 기록이나 로그 기록을 사용하여 탐자하며 시스템 호출 추적 기반으로 탐지 한다.


4. 오용 탐지 기반 HIDS
오용 탐지 기반 HIDS는 안티 바이러스 프로그램으로 가장 많이 사용 된다. 악의적인 행동을 파악하여 유명한 바이러스를 탐지한다.


댓글

댓글 쓰기

이 블로그의 인기 게시물

[Python] 파이썬 if문 사용법과 예제

-
이미지
파이썬 if문 사용법과 예제 if문 이란? if문은 조건을 충족한다면 수행 하라는 조건문이다. 아래 그림처럼 조건문이 참이면 실행하고 거짓이면 다음 조건문으로 넘어간다. 사실 그림을 본다고 이해 안되므로 대충 보고 글을 차례대로 읽으면 이해가 될 것이다. if문의 기본 형태 아래 예제가 if문의 가장 간단한 형태로 if, else 두 개를 사용한다. if는 조건문으로 조건을 만족하면 실행한다. else는 조건을 만족하지 않으면 실행된다. 코드를 설명하자면 if 에서 점수(score)가 90점 이상이면 A등급을 출력한다. else 에서 90점 미만은 낙제를 출력한다. 첫 출부터 아래로 내려가면서 조건을 만족하면 실행한다. if 90<= score: 를 만났을 때 현재 score가 90이기 때문에 A등급을 출력 후 조건문이 종료 된다. 즉 else문은 실행되지 않는다. Tip) if문을 사용할 때 콜론( : )을 꼭 뒤에 붙여야 한다. 처음 하다 보면 콜론을 까먹는 경우가 있다.  score = 90 if 90 <= score: # '<=' 기호는 "같거나 크다." 로 사용된다. print ( "A 등급 " ) else : print ( " 낙제 " ) 결과 : A등급 elif 활용하기 바로 위에 예제는 하나의 조건 밖에 걸지 못한다. 하지만 elif를 사용한다면 여러 개의 조건을 걸 수 있다. 아래 예제를 보자. score는 현재 80점이다. 첫 줄 부터 코드가 진행된다. if 90<= score: 를 만났을 때 score는 90보다 작기 때문에 는 무시된다. if 80<= score: 를 만났을 때 score는 80과 같거나 크기 때문에 B등급이 출력된다. score = 80 if 90 <= score: print ( "A 등급 " ) el
다른 게시물 보기

[네트워크] 오류 제어 방식 이란?(FEC, BEC, ARQ)

-
오류 제어 방식 이란?(FEC, BEC, ARQ) 오류 제어 방식에 대해 알아보자.  통신에서 오류란? 송신한 데이터가 제대로 수신 측까지 가지 않았을 때 오류라고 한다. 오류의 원인에는 잡음(noise), 전송 기술, 채널 상태, 장비의 차이가 있다. 오류 제어 방식의 의미 데이터를 전송하는 과정에서 발생할 수 있는 오류를 감지하고 수정 또는 복구하는 방법. 오류 제어 방식의 종류 1. 오류 무시 2. 전진 오류 수정(FEC)     - 해밍 부호 검사 3. 후진 오류 수정(BEC)      - 패리티 검사     - 블록 합 검사     - 순환 중복 검사(CRC) 4. 검출 후 재전송(ARQ)      - 정지 대기(stop and wait) 방식      - go-back-N 방식      - selective-request 방식 5. 반항 검사 - 링크 계층에서 가장 많이 사용하는 오류제어 방식은 검출 후 재전송(ARQ) 다. - 반항 검사는 잘 사용하지 않으므로 다루지 않는다. 1. 오류 무시 - 오류 무시 정의 오류 무시란 오류가 발생한 프레임을 수신 측에서 버리거나 상위 계층에게 떠넘겨서 상위 계층에서 알아서 처리하게 하는 것. - 사용 예시 1. 100만큼 데이터를 보냈다고 했을 때, 20만큼 오류가 나더라도 상관 없을 때 사용. 2. 오류가 발생했던 데이터를 재전송 했을 때 시간이 지나 더 이상  수신 측에서 필요 없는 데이터일 때. 3. 음성 통신 같은 경우 내용 파악의 문제가 없으면 사용. 2. 전진 오류 수정(forward error correction) - 전진 오류 수정(FEC) 정의 전진 오류 수정이란 일정 한 비트 수 이하로 오류가 발생하면 수신 측에서 스스로 정정할 수 있도록 하는 것. 일정 한 비트 수의 의미는 오류가 100비트 발생하면 수정하기 힘들지만 한 두 개 정도는
다른 게시물 보기

[Virtual Box] 가상머신 에러 E_FAIL (0x80004005), (VERR_SUPLIB_PATH_NOT_CLEAN) 해결 방법

-
이미지
Failed to load R0 module D:\/VMMR0.r0: The path is not clean of leading double slashes: 'D:\/VMMR0.r0' (VERR_SUPLIB_PATH_NOT_CLEAN). E_FAIL (0x80004005) 인터페이스: IConsole {6ac83d89-6ee7-4e33-8ae6-b257b2e81be8} 해결 방법 에러 이유 ( VERR_SUPLIB_PATH_NOT_CLEAN) 결론 부터 말하자면 Virtual Box 경로가 C 드라이브가 아닌 D드라이브 같은 다른 위치에 설치되면 발생한다. VirtualboxVM.exe는 Virtualbox의 설치 폴더에 있어야 한다. virtualization support 설정, windows 보안 꺼도 에러가  해결 안되고 혹시 가상머신을 다른 경로에 저장했다면  이 방법을 써볼것. Vitual Box  재설치 후 경로 C드라이브로 설정 1. Vitual Box 제어판 가서 삭제한 후 재 설치한다. 2. 설치 하면서 가상 머신을 C드라이브로 설치한다. 괜히 D드라이브로 바꾸지 말 것.(그냥 경로 건들지 말자.) 에러 때문에 2시간 허비 했다. 에러 해결 방법에 대해 한국어 글이 없어서 누군가는 보라고 올림. 출처 :  https://forums.virtualbox.org/viewtopic.php?t=96445
다른 게시물 보기