네트워크 보안장비 관련 글 보기
침입탐지시스템 탐지의 이해를 위한 기본 지식
미탐(False Negative) : 공격을 탐지 못한 경우
미탐의 예 : 시그니처 기반 탐지 시스템에서 미등록된 공격
오탐(False Positive) : 공격이 아닌걸 공격으로 탐지한 경우
오탐의 예 : 행위기반 탐지 기법에서 임계치 설정 미흡
IDS(Intrusion Detection System)
시스템에 대하여 인가되지 않은 행위, 비정상적 행위 탐지
데이터 소스 기반 IDS 분류
HIDS(호스트 기반 IDS)
각 호스트 내에서 운영체제 감사자료 및 시스템 로그 등을 확인하여 침입탐지 확인
장점
감시가 필요한 각 서버에 설치 필요 / 하드웨어 추가 구매 필요 없음
NIDS에서 탐지 불가능한 침입 탐지
단점
호스트 자원 점유
운영체제가 취약한 경우 IDS 탐지 보장 어려움
NIDS(네트워크 기반 IDS)
Promiscuous(무차별 모드)로 동작하는 NIC를 통해 네트워크 패킷 캡쳐하여 이를 분석해 침입탐지 확인
일반적으로 switch에서 미러링 구성
패킷 암호화되어 전송 시 분석이 불가능함
침입탐지 판정 여부에 따른 IDS 분류
Misuse Detection(오용 탐지)
정해진 공격 모델과 일치하는 경우를 침입으로 간주(지식기반 탐지)
오탐률은 낮지만 새로운 유형의 공격에 취약함
Anomaly Based Detection(비정상행위 탐지)
정해진 모델을 벗어나는 경우를 침입으로 간주(행위기반 침입 탐지)
신규 공격에 대응 가능하지만 오탐률 높음
