IDS란 Intrusion Detection System의 약자로 침입 탐지 시스템을 말한다.
수집원에 따른 분류
HIDS(호스트 기반 IDS)
특징
- 서버에 직접 설치됨
- 네트워크 환경과 무관하게 하나의 시스템 내부 사용자들의 활동을 감시하고 해킹 시도를 탐지하도록 한다.
장점
- 호스트에 대한 명백한 침투에 대해 탐지 가능하다
- NIDS에 비해 오탐률이 높다
NIDS(네트워크 기반 IDS)
특징
- 패킷 캡쳐링에 기반하여 네트워크 내 패킷을 분석하여 침입을 탐지한다.
- 네트워크 세그먼트 당 하나 설치된다.
장점
- 세그먼트 당 하나만 설치하므로 설치가 용이하다
- 네트워크에서 실행되어 개발되므로 서버의 성능 저하가 없다.
대응 방법에 따른 분류
수동적 대응
대량 정보를 수집하는 형태로 필요한 경우 권한을 가진 사용자가 조치를 취하도록 통보한다.
능동적 대응
가장 빨리 실행할 수 있는 행동으로 침입에 대한 손신을 줄일 수 있게 한다.
탐지 시점에 따른 분류
- 사후 분석 시스템
정해진 시간에만 분석하여 침입 여부 판단
- 실시간 탐지 시스템
실시간 정보 수집과 동시에 감사 데이터 발생과 침입 탐지가 이뤄지고 이에 대응하는 시스템
탐지 방법에 의한 분류
- 지식 기반 침입 탐지
기존 침입 방법을 DB에 저장해두었다가 사용자의 행동 패턴이 침입 패턴과 유사, 일치하는 경우 침입으로 판단한다.
오탐률이 낮고 새로운 공격 탐지를 위해 공격 패턴을 지속적으로 갱신한다.
- 행위 기반 침입 탐지
정상적인 행위에 대한 정의들과 비교하여 일탈 행위를 식별한다.
인공적인 알고리즘 사용으로 패턴 자동 업데이트, 제로 데이 어택 탐지 가능하다.
그러나 오탐률이 크고 임계치 설정이 어렵다는 단점이 있다.
자료 출처
https://www.juniper.net/kr/ko/research-topics/what-is-ids-ips.html
https://min-12.tistory.com/75
https://velog.io/@js2_11/IDSIPS
https://m.blog.naver.com/on21life/221540559731
https://peemangit.tistory.com/212
크리스마스 캐럴을 좋아하는 사람!