[Term] Intrusion Detection System

Intrusion Detection System

 

  침입 탐지 시스템(Intrusion Detection System)은 일반적으로 시스템에 대한 원치 않는 조작을 탐지 해준다. 시스템에 대한 원치 않는 조작은 악의를 가진 숙련된 해커 또는 자동화된 툴을 사용하는 스크립트 키디에 의한 공격의 형태로 행해질 수 있다. 침입 탐지 시스템은 전통적인 방화벽이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및 컴퓨터 사용을 탐지하기 위해 필요하다. 이것은 취약한 서비스에 대한 네트워크 공격과 애플리케이션에서의 데이터 처리 공격 그리고 권한 상승 및 침입자 로그인, 침입자에 의한 주요 파일 접근, 악성 소프트웨어(바이러스, 트로이 목마, 웜)와 같은 호스트 기반 공격을 포함한다. 침입 탐지 시스템은 여러개의 구성 요소로 이루어져 있다. 센서는 보안 이벤트를 발생시키며, 콘솔은 이벤트를 모니터하고 센서를 제어하거나 경계시키며, 중앙 엔진은 센서에 의해 기록된 이벤트를 데이터베이스에 기록하거나, 시스템 규칙을 사용하여 수신된 보안 이벤트로부터 경고를 생성한다. 침입 탐지 시스템에는 두가지 방법이 존재한다. 두 가지 방법은 아래와 같다.

 

 1) 시그니처 기반 침입 탐지

    악의적인 것으로 추정되는 트래픽 또는 애플리케이션 데이터의 패턴을 감시하여 침입을 식별한다.

  패턴을 가지고 있는 행위만 탐지가 가능하다. 패턴을 서로 공유하거나 업데이트를 통해 새로운 공격
  들을 탐지 할 수 있다. 채집된 정보를 분석하여, 공격 시그니처를 저장하는 거대한 데이터베이스를
  통해 그것을 비교한다. 이미 문서화된 특정 공격을 찾는 것이다.

 

  2) 변칙 기반 침입 탐지

    네트워크 또는 호스트의 일반적인 동작과 다른것으로 추정되는 트래픽 또는 애플리케이션 컨텐트를
   시스템 운영자에게 알리는 것으로 침입을 식별한다. 변칙 기반 침입 탐지 시스템은 이것을 스스로
   학습한다. 변칙 탐지에서 시스템 관리자는 네트워크의 트래픽 로드, 고장, 프로토콜 그리고 일반적인
   패킷 크기에 대한 기준선 또는 일반 상태를 정의한다. 변칙 탐지자는 네트워크 세그먼트를 모니터링
   하여 정의된 기준과 그들의 상태를 비교하고 변칙을 찾는다.

 

출처 : 위키 백과