프로그램 개발 일기

호스트 기반 침입 탐지 시스템(HIDS) 이란? 호스트 기반 침입 탐지 시스템(HIDS)  1. 호스트 기반 침입 탐지 시스템이란? HIDS는 취약하거나 민감한 시스템의 보안 소프트웨어에 레이어를 추가하여 이루어 진다. 예를 들어 데이터 베이스 서버 및 관리 시스템이 있다. HIDS는 의심스러운 동작을 검출 하기 위해 다양한 방법으로 활동을 감시한다. 장점으로는 시스템 외부와 내부 모두 감지를 할 수 가 있다. 2. HIDS가 수집하는 데이터 1. 시스템 호출 추적 : 시스템 프로세스에 의해서 시스템 작동 순서 기록이 남는다. 이 때 HIDS의 데이터에서 확인 한다. 여기서 재밌는게 유닉스, 리눅스는 시스템 호출이 잘되는데 윈도우즈는 특정한 프로시저들은 DLL의 방해를 받아서 문제가 생긴다. 2. 로그 기록 : 운영체제에는 사용자의 활동 정보를 수집하는 회계 소프트웨어가 있다. 로그 기록은 이론상 침입 탐지를 위해서 사용하지만 컴퓨터 보안에서 더욱 사용 된다. 3. 파일의 무결성 체크섬(check sum) : 정기적으로  파일을 검사하고 암호화 된 체크섬을 비교하여 변화된 값이 있는 지 확인 한다. 4. 레지스트리 접근 : 레지스트리에 접근해서 모니터링으로 체크한다. 3. 이상 탐지 기반 HIDS 유닉스나 리눅스 시스템에서 수집된 데이터를 사용하여 회계 기록이나 로그 기록을 사용하여 탐자하며 시스템 호출 추적 기반으로 탐지 한다. 4. 오용 탐지 기반 HIDS 오용 탐지 기반 HIDS는 안티 바이러스 프로그램으로 가장 많이 사용 된다. 악의적인 행동을 파악하여 유명한 바이러스를 탐지한다.

침입 탐지 시스템(IDS, HIDS, NIDS, 분산IDS) 정리 침입 탐지 시스템(IDS) 1. 침입 탐지 시스템(Intrusion Detection System)이란? 시스템 이벤트를 24시간 감시와 분석을 통해 시스템에 불법적인 접근이 있다면 실시간으로 관리자에게 알려주는 서비스.  2.  침입 탐지 시스템(IDS)는 3가지로 이뤄져 있다. 센서(sensor) : 센서는 자료 수집에 사용. 네트워크 패킷, 로그, 시스템 호출 등 정보를 수집 하여 Analyzers에 전송. 분석기(Analyzers) : 하나 이상의 센서나 다른 Analyzer로부터 입력 데이터를 수집. 침입이라고 판단되면 알려준다. UI(User Interface) : IDS의 인터페이스를 사용해서 ID출력 내용을 보거나 시스템을 조절 가능. 3.  침입 탐지 시스템(IDS)는 3가지의 논리적 요소로 구성. - 호스트 기반 침입 탐지 시스템(HIDS) : 하나의 호스트의 특성과 그 안에서 발생하는 이벤트들을 감시 및 탐지 - 네트워크 기반 침입 탐지 시스템(NIDS) : 네트워크 특정 세그먼트에서 관찰되는 네트워크 트래픽을 감시하고 네트워크, 전송, 응용 프로토콜 분석 및 탐지 - 분산(하이브리드) IDS : 센서, 호스트, 네트워크 기반 IDS로부터 오는 정보들을 모두 합쳐 침입을 분석. 4. 분석 방법 침입자를 탐지하기 위해서 2가지 방법을 사용한다. 1. 이상 탐지 : 장기간 수집한 침입자가 아닌 일반 사용자들의 행동 패턴 데이터를 수집한다. 데이터를 기반으로 관찰된 행동이 합법적인 사용자의 행동이라고 판단이라고 생각 할 수 있도록 통계학적인 테스트를 통해 판단한다. 2. 오용 탐지 : 이상 탐지가 정상적인 행동을 탐지 한다면 오용 탐지는 적절한 행동을 정의 한다. 즉 침입자를 판단하기 위해 규칙과 공격 패턴을 정의한다. 자, 이상탐지는 정상적인 행동을 탐지 ...