[Network] IDS란

1. IDS(Intrustion Detection System, 침입 탐지 시스템)란

- 네트워크 트래픽에서 의심스러운 활동이 있는지 모니터링 하고 의심스러운 활동이 발견되면 경보를 발령하는 시스템

- 이상 탐지 및 보고가 주요 기능이지만 의심스러운 인터넷 프로토콜 주소에서 전송되는 트래픽을 차단하는 등 악의적인 활동이나 변칙적인 트래픽이 감지될 때 조치를 취할 수 있음

 

2. IDS의 유형

 

2.1 NIDS(Network Intrusion Detection System) : 네트워크 내의 전략적 지점 또는 지점에 배치되어 네트워크의 모든 장치에서 들어오고 나가는 트래픽을 모니터링

 

2.2 HIDS(Host Intrusion Detection System, 호스트 침입 탐지 시스템) :

- 인터넷과 기업 내부 네트워크 모두에 직접 액세스하여 네트워크의 모든 컴퓨터 또는 장치에서 실행

- HIDS는 조직 내부에서 발생하는 변칙적인 네트워크 패킷이나 NIDS가 탐지하지 못한 악의적인 트래픽을 탐지

- HIDS는 호스트가 악성코드에 감염되어 다른 시스템으로 퍼지려고 하는 경우와 같이 호스트 자체에서 발생하는

악의적인 트래픽을 식별 가능

 

2.3 SIDS(서명 기반 침입 탐지 시스템) : 네트워크를 통과하는 모든 패킷을 모니터링하여 바이러스 백신 소프트웨어와 같이 알려진 악의적인 위협의 공격 서명 또는 속성의 데이터베이스와 비교

 

2.4 AIDS(이상형 기반 침입 탐지 시스템)

- 네트워크 트래픽을 모니터링하여 설정된 기준선과 비교, 대역폭/프로토콜/포트 및 기타 장치에 대해 네트워크에서 정상으로 간주되는 사항 결정

- 기계 학습을 사용하여 기준선 설정 및 보안 정책을 수반, 이 후 의심스러운 활동 및 정책 위반 경고

- 특정 서명과 속성 대신 넓은 모델을 사용하여 위협 탐지로 탐지 방법 개선

 

3. IDS의 기능

• 사이버 공격의 탐지, 방지 또는 복구를 목적으로 하는 다른 보안 제어에 필요한 라우터, 방화벽, 키 관리 서버 및 파일의 운영 개선

• 관리자가 추적하거나 구문 분석하기 어려운 관련 OS 감사 추적 및 기타 로그를 조정, 구성 및 이해할 수 있는 방법 제공

• 고급 직원이 시스템 보안 관리를 지원할 수 있도록 사용자 친화적인 인터페이스 구축

• 시스템의 정보를 일치시킬 수 있는 광범위한 공격 서명 데이터베이스를 포함.

• IDS가 데이터 파일이 변경되었음을 감지했을 때 인식 및 보고

• 경보 발생 및 보안 침해 알림

•침입자를 차단하거나 서버를 차단하여 침입자에게 접근

 

4. IDS 특장점

- 공격의 양과 유형 분석, 이를 통해 효과적인 제어 구현

- 네트워크 장치 구성에서의 버그나 문제를 식별하기 위한 정보 제공

- 네트워크 호스트와 디바이스 감지를 토앟ㄴ 네트워크 패킷 내의 데이터 검사 및 사용중인 서비스의 OS 식별