개념
외부 침입자의 IT 자원에 대한 불법적인 접근 및 보안 정책을 위반하는 행위 활동을 하도록 하되 CCTV 처럼 지켜봄
기능
- 경보 기능: E-mail, SNS, SNMP(Simple Network Management Protocol) 발송
- 실시간 탐지: 사용자 행위, 트래픽 특성 등을 파악하여 실시간 침입 여부 탐지
- 세션 차단 기능: 공격자의 TCP Session 에 대해 FIN, RST packet 을 전송하여 침입 패킷 강제 종료. ICMP “POST UNREACHABLE” 시스템 격리
- 정보 수집 및 분석 모듈: 호스트, 네트워크로부터 수집하여 시스템 및 패턴 데이터베이스 설정에 따라 정보 분석
- 분석 결과를 저장하는 로그 저장소
- 패턴 생성 모듈: 침입 분석 자료를 통해 패턴 생성, 저장 관리
- 이벤트 보고 모듈: 로그 저장소 분석 결과를 관리자에게 발송
분류
- 데이터 소스: 시스템 데이터 네트워크 패킷
- 탐지 방법: 오용탐지, 이상행위탐지
- 감사 자료 분석: 독립분석, 협력분석
- 데이터 소스 제공: 독립분석, 협력분석
- 반응성: 능동형, 수동형
데이터 소스에 따른 유형
- 호스트기반 (HIDS): 감사 자료, 시스템 콜 정보 활용. 정확한 탐지 기능. 서버 및 PC에 직접 에이전트를 설치하고 정보를 수집하여 서버 부하 가능성 높음
| 운영체제와의 연관성 | 종속적 |
|---|---|
| 침입 탐지 시기 | 비교적 늦음 |
| 침입 흔적 삭제 | 가능 |
| 서비스 거부 공격 탐지 | 제한적 |
| 암호화된 침입 | 탐지 가능 |
| 공격 루트 탐지 범위 | 시스템, 네트워크 |
- 네트워크기반 (NIDS): 독립저긍로 네트워크에 설치 운영되어 각 서버의 성능 저하가 없다. 네트워크 트래픽이 암호화 되어 있을 경우 탐지가 불가능. 네트워크 트래픽 증가 시 성능 저하
| 운영체제와의 연관성 | 종속적 |
|---|---|
| 침입 탐지 시기 | 상대적으로 빠름 |
| 침입 흔적 삭제 | 불가능 |
| 서비스 거부 공격 탐지 | 가능 |
| 암호화된 침입 | 탐지불가능 |
| 공격 루트 탐지 범위 | 네트워크 |
탐지 방법에 따른 유형
오용탐지: 알려진 비정상 시그니처 패턴을 기반으로 침입 탐지
장점: 오탐 가능성 적음, 관리 및 보고 용이, 설치 즉시 사용 가능
단점: 알려지지 않은 패턴 수집 어려움, 오탐을 줄이기 위해 세밀한 패턴 필요. 지속적인 해킹 기술 습득 필요
주요기법: 서명분석(시그니처 분석), 전문가 시스템, 상태 전이 분석
이상행위탐지: 정상행위 정보를 기반으로 침입 탐지
장점: 새로운 공격 패턴 탐지 가능, 학습 능력 포함
단점: 오탐 가능성 높음. 장기간의 학습 필요. 실제 학습 환경 구축의 어려움
주요기법: 통계적 방법, 예측 가능 패턴 생성, 비정상 행위 처리, 신경망 분석
모델
- 오용탐지모델: 전문가 시스템: 감사 기록 자료를 이전에 설정된 규칙의 집합과 비교
- 키 스트로크 모니터링: 키 입력을 이전에 설정된 규칙의 집합과 비교
- 상태 전이 분석: 공격에 대한 상태 전이 다이어그램을 확보
- 이상행위탐지모델: 예측 패턴 생성
- 신경망 회로: 신경망 러닝 시스템을 통해 프로파일 생성