침입탐지시스템(IDS, Intrusion Detection System)은 크게
오용 탐지와 비정상 행위 탐지로 나뉜다.
1. 오용 탐지 (Misuse Detection)
기존에 알려진 공격 패턴(시그니처)를 기반으로 탐지
이미 정의된 침입 유형과 비교하여 탐지
- 장점: 정확도가 높고 오탐(False Positive)이 적음
- 단점: 새로운 공격을 탐지할 수 없음
예시:
- 안티바이러스 프로그램이 악성 코드의 시그니처를 비교하여 탐지
- 웹 방화벽이 SQL 인젝션 공격 패턴을 감지
비정상 행위 탐지 (Anomaly Detection)
정상적인 시스템 동작을 정의하고, 이를 벗어나는 행위를 탐지
알려지지 않은 새로운 공격도 탐지 가능
- 장점: 새로운 유형의 침입 탐지가 가능
- 단점: 정상적인 행위라도 이상하게 보이면 오탐이 많아질 수 있음
예시:
- 사용자의 로그인 패턴을 분석하여 비정상적인 접근 감지
- 네트워크 트래픽을 분석하여 비정상적으로 많은 데이터 전송 탐지
연습문제
문제 1
침입탐지시스템은 오용탐지와 비정상행위탐지로 크게 분류하고 있다.
이 분류방법에 의해 구분할 때 아래 보기 중 오용탐지에 해당하는 것을 모두 고르시오
1. 새로운 침입 유형 탐지 가능
2. 새로운 침입 유형 탐지 불가능
3. 비정상 행위를 정의하고고 이에 해당하는 행위를 찾음
4. 정상 행위를 정의하고 이를 벗어나는 행위를 찾음
정답
2, 3
Data Analytics Engineer 가 되