[컴퓨터 보안] 침입 탐지 시스템(IDS, HIDS, NIDS, 분산IDS) 정리
침입 탐지 시스템(IDS, HIDS, NIDS, 분산IDS) 정리 침입 탐지 시스템(IDS) 1. 침입 탐지 시스템(Intrusion Detection System)이란? 시스템 이벤트를 24시간 감시와 분석을 통해 시스템에 불법적인 접근이 있다면 실시간으로 관리자에게 알려주는 서비스. 2. 침입 탐지 시스템(IDS)는 3가지로 이뤄져 있다. 센서(sensor) : 센서는 자료 수집에 사용. 네트워크 패킷, 로그, 시스템 호출 등 정보를 수집 하여 Analyzers에 전송. 분석기(Analyzers) : 하나 이상의 센서나 다른 Analyzer로부터 입력 데이터를 수집. 침입이라고 판단되면 알려준다. UI(User Interface) : IDS의 인터페이스를 사용해서 ID출력 내용을 보거나 시스템을 조절 가능. 3. 침입 탐지 시스템(IDS)는 3가지의 논리적 요소로 구성. - 호스트 기반 침입 탐지 시스템(HIDS) : 하나의 호스트의 특성과 그 안에서 발생하는 이벤트들을 감시 및 탐지 - 네트워크 기반 침입 탐지 시스템(NIDS) : 네트워크 특정 세그먼트에서 관찰되는 네트워크 트래픽을 감시하고 네트워크, 전송, 응용 프로토콜 분석 및 탐지 - 분산(하이브리드) IDS : 센서, 호스트, 네트워크 기반 IDS로부터 오는 정보들을 모두 합쳐 침입을 분석. 4. 분석 방법 침입자를 탐지하기 위해서 2가지 방법을 사용한다. 1. 이상 탐지 : 장기간 수집한 침입자가 아닌 일반 사용자들의 행동 패턴 데이터를 수집한다. 데이터를 기반으로 관찰된 행동이 합법적인 사용자의 행동이라고 판단이라고 생각 할 수 있도록 통계학적인 테스트를 통해 판단한다. 2. 오용 탐지 : 이상 탐지가 정상적인 행동을 탐지 한다면 오용 탐지는 적절한 행동을 정의 한다. 즉 침입자를 판단하기 위해 규칙과 공격 패턴을 정의한다. 자, 이상탐지는 정상적인 행동을 탐지 ...