정보보안) IDS (침입 탐지 시스템)의 기능, 목적

침입 탐지 시스템의 기능, 목적

출처 :  정보보안 개론과 실습 개정판 (한빛미디어)

침입 탐지 시스템 (IDS: Intrusion Detection System)

- 방화벽만으로 모든 해킹 공격을 막을 수 없다

- 방화벽을 뚫고 들어온 해킹 공격을 탐지하기 위한 시스템

IDS의 목적 - 침입에 대한 대응

1. 데이터 수집

2. 데이터 필터링과 축약

3. 침입탐지

4. 책임 추적성과 대응

1. 데이터 수집

* 설치 위치와 목적에 따라 크게 두가지로 나뉜다

- 호스트 기반 IDS

운영체제에 부가적으로 설치되어 사용자 계정에 따라 접근, 작업 기록을 남기고 추적

네트워크에 대한 침입 탐지는 불가능

- 네트워크 기반 IDS

하나의 독립된 시스템으로 운용된다 (TCP Dump, Snort)

네트워크 전반 감시하고 네트워크 자원이 손실되거나 데이터가 변조되지 않는다

공격당한 시스템의 공격에 대한 결과를 알 수 없고, 암호화된 내용을 검사할 수 없다

2. 데이터 필터링과 축약

보안감사 - 로그를 살펴보고 유효성을 확인하는 작업

클리핑 레벨의 설정 - 일정 수 이상 잘못된 패스워드로 접속을 요구할 때 로그를 남기도록 한다

3. 침입 탐지

오용 탐지(Misuse Detection)

이미 발견되고 정립된 공격 패턴을 미리 입력해두고, 해당 패턴을 탐지했을 때 이를 알려주는 것

장점

- 탐지 오판 확률이 낮고, 효율적이다

단점

- 알려진 공격 외에는 탐지가 불가능하며, 데이터를 분석하는 데는 부적합하다

이상 탐지(Anomaly Detection)

정상적이고 평균적인 상태를 기준으로, 급격한 변화나 확률이 낮은 일이 발생할 경우 침입 탐지를 알리는 것

장점

- 스스로 판단하고 결정을 내려 알려준다

단점

- 오판률이 높다

4. 책임 추적성과 대응   

공격자의 침입을 역추적하고 침입자의 시스템이나 네트워크를 사용하지 못하게 하는 능동적인 기능있다