네트워크 보안 - 침입탐지시스템
반응형
다음 중 전문가 시스템(Expert System)을 이용한 IDS에서 사용 되는 침입 탐지기법은?
① Behavior Detection
② State Transition Detection
③ Knowledge Based Detection
④ Statistical Detection
침입탐지시스템
1. 개요
- Intrusion Detection System(IDS)
- 네트워크 또는 호스트로의 비정상적인 접근을 탐지하는 시스템
2. 긍정오류와 부정오류
IDS와 같이 탐지만을 하는 시스템이 있는 이유는 오류는 탐지란 것이 완벽할 수 없기 때문이다.
- 긍정오류(False Positive) : 정상적인 접근을 비정상적인 접근이라고 잘못 판단
- 부정오류(False Negative) : 비정상적인 접근을 정상적인 접근이라고 잘못 판단
3. 실행 4단계
- 데이터 수집(Raw Data Collection)
- 데이터 가공 및 축약(Data Reduction and Filtering)
- 침입 분석 및 탐지(Intrusion Analysis and Detection)
- 보고 및 대응(Reporting and Response)
4. 탐지방법에 의한 분류
4.1. 지식기반 침입탐지
Knowledge-based Detection
- 비정상 행위에 대한 패턴을 입력하여 일치하는 패턴을 탐지한다.
- 전문가 시스템(Expert System)
- 상태전이 모델
- 패턴 매칭(Signature-based Detection)
- 장단점
- 오탐률이 낮다.
- 새로운 패턴은 탐지 불가
- 속도 느림
- 오용탐지(Misuse Detection) 이라고도 부른다.
4.2. 행위기반 침입탐지
- 정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상을 구분한다.
- 통계적 분석
- 예측 가능한 패턴 생성
- 신경망 모델
- 장단점
- 패턴 자동 업데이트
- 새로운 패턴(제로데이 공격 등) 탐지 가능
- 오탐률이 높음
- 정상/비정상 기준 수립이 힘듦
- 비정상 행위 탐지(Anomaly Detection)이라고도 부른다.
5. 데이터 수집원에 의한 분류
5.1. 네트워크 기반 IDS
Network Based IDS(N-IDS)
IDS장비를 네트워크 앞단에 설치해 두고 네트워크에서 오가는 트래픽들을 분석
- 특징
- 네트워크 전체를 몇개의 감지기를 통해 커버하므로 비용이 저렴하다.
- 운영체제에 독립적이다.
- 흘러가는 트래픽을 수집하여 분석하므로 해커가 임으로 지우기 어렵다.
- 암호화된 트래픽은 분석이 불가능하다.
- 고속 네트워크에선 패킷 손실이 많다.
- 호스트 내부에서 벌어지는 비정상적인 행위에 대해선 감지가 불가능하다.
5.2. 호스트 기반 IDS
Host Based IDS(H-IDS)
특정 호스트시스템에서 수집된 감사자료를 분석하고 비정상 행위를 탐지
- 특징
- 탐지가 정확하다. N-IDS와 다르게 모두 복호화된 데이터를 분석하고 패킷의 손실도 없다.
- 추가적인 장비가 필요하지 않다.
- 운영체제에 종속적이다. (리눅스 전용 IDS면 윈도우 서버에선 못 쓴다.)
- 시스템에 부하가 발생한다.
- 구현이 어렵다.
6. 다중 호스트 기반 IDS
Multi-Host Based IDS
여러 호스트 시스템을 종합적으로 분석하여 비정상 행위를 탐지
- H-IDS에 N-IDS적인 성격을 더한 IDS
- 대상 호스트들에 Agent를 설치하고, 대상 호스트들이 속한 네트워크에 종합 분석용 서버를 둔다.
- 서버에선 여러 호스트들에서서 수집된 자료들을 종합적으로 분석한다.
- 여러 호스트를 통하여 침입이 이루어지는 것을 탐지할 수 있다.
- 다중 H-IDS와 구분하여 일반 H-IDS를 단일 호스트 기반 IDS이라고 부르기도 한다.
7. 기타
- 상태 추적 기능(Stateful Inspection)
- 패킷 필터링의 단점인 세션(session)에 대한 추적 기능을 보완한다.
- 메모리상에 상태 추적 테이블을 만들어 단일 패킷이 아닌 뒤따르는 커넥션을 종합하여 평가한다.
- 이스라엘 보안업체인 checkpoint 사에서 최초로 개발한 기능으로, 요즘은 대부분의 IDS에서 제공한다.
[출처]http://itwiki.kr/w/%EC%B9%A8%EC%9E%85%ED%83%90%EC%A7%80%EC%8B%9C%EC%8A%A4%ED%85%9C
반응형
'IT > Network' 카테고리의 다른 글
IP Fragments (0) | 2019.08.20 |
---|---|
네트워크 보안 - Snort의 payload 데이터 검사 항목 (0) | 2019.08.19 |
네트워크 보안 - NAC (Network Access Control) (1) | 2019.08.09 |
네트워크 보안 - 피싱, 파밍, 스미싱, 봇넷 (0) | 2019.08.07 |
네트워크 보안 - NAT (Network Address Translation) (0) | 2019.08.07 |
댓글