네트워크 보안 - 오용 탐지, 비정상행위 탐지

오용 탐지 방법으로 적당하지 않은 것은? 4
① 시그니처 분석
② 페트리넷(Petri-net)
③ 상태 전이 분석
④ 데이터 마이닝

---

탐지를 분석하는 방법에 따라 크게 오용 탐지와 비정상행위 탐지로 분류

 

1. 오용 탐지(Misuse Detection)

 - 이미 발견되고 정립된 공격 패턴을 미리 입력해 두고 거기에 해당하는 패턴을 탐지하는 방식

 - 탐지 오류율이 낮고 비교적 효율적이나 알려진 공격이외는 탐지 불가능

 - 전문가 시스템(Expert System)의 지식 DB를 이용한 IDS 역시 이에 기반한다.

 

   1.2 오용 탐지 종류

       서명 분석(signature analysis) - 지식기반 접근 방식, 광범위한 자료 축적
       전문가 시스템(expert systems) - 지식 기반 접근 방식, 각 공격을 규칙 집합으로 관리, 규칙 기반 언어 사용
       상태 전이 분석(state transition analysis) - 상태 전이 다이어그램을 통해 분석
       페트리 넷(petri nets) - 복잡한 시스템을 추상화, 도식적인 표현 가능, 분류/상관관계의 효과적 표현 가능

​

2. 비정상행위 탐지

 - 정상적인 시스템 사용을 기준으로 이에 어긋나는 행위를 탐지하는 방식

 - 시스템 가동 전에 정상적인 사용자의 로그인 횟수, CPU 사용량, 디스크 읽기/쓰기 횟수 등의 통계쩍 기준선을 설정한 뒤 IDS에게 기준선을 초과하는 비정상 행위를 탐지하게 한다.

   2.1 비정상행위 탐지 종류

       통계(statistics) - 가장 많이 적용되는 방법론
       전문가 시스템(expert systems) - 사용 패턴을 기록하여 프로파일 구축, 비교하여 탐지
       신경망(neural networks) - 유닛간 가중치 연결 기반
       컴퓨터 면역학(computer immunology) - 유닉스 네트워크 서비스 모델링, 시스템 호출 순서 패턴 모니터링
       데이터 마이닝(data mining) - 대량의 데이터로부터 패턴과 규칙을 찾음
       HMM(Hidden Markov Models) - 한 데이터로부터 은닉 정보를 찾아내는 과정을 모델링