|
정의
|
- 대상 시스템에서 허가되지 않거나 비정상적인 행위에 대하여 탐지, 식별하고 보고하는 기능을 가진 보안 솔루션
- 침입을 목적으로 특정 시스템에 불법적으로 접속하여 시스템을 사용, 오용, 남용하는 것을 감지하고, 문제를 처리하는 시스템
- 각종 침입 행위들을 자동으로 탐지, 대응, 보고하는 보안 시스템
- 내부 네트워크의 모든 행동들을 감시 및 기록, 이상 상황의 발생 시 이를 파악하고 불법 행동을 일으킨 Packet을 차단하는 시스템
- 시스템의 비정상적인 사용, 오용, 남용 등을 탐지하여 알려주는 시스템
|
|
구조
|
- 오용탐지(Misuse Detection) : 알려진 취약점을 이용하여 공격하는 행위를 사전에 저장된 공격패턴 정보로 탐지하는 방법
- 비정상 탐지(Anomaly Detection) : 정상적인 프로파일과 시스템 상태를 유지하면서 이 프로파일에 벗어나는 행위를 탐지
|
|
주요기능
|
- 트래픽 분석 : 프로토콜 별 트래픽 사용량 분석 및 추이분석
- 유해 트래픽 분석 : Bps, Session 단위 유해 트래픽 산정 및 추이분석
- 이상징후 : 트래픽 기반, 이벤트 기반 발생량 및 분포 변화 분석
- 침입탐지 이벤트 : 이벤트 유형, IP별 통계, Ton N 이벤트 분류
|
|
구성요소
|
- 패턴DB : 패턴생성기에 의해 생성된 패턴의 저장관리
- 패턴 생성기 : 침입분석자료를 통해 패턴을 생성
- 이벤트보고기 : 로그저장소의 분석결과를 해당 관리자에게 보고
- 로그저장소 : 분석된 결과의 저장
- 정보분석기 : 시스템 설정가 패턴DB 설정에 따라 정보분석
- 정보수집기 : 호스트나 네트워크로 부터 분석자료 수집
|
|
알고리즘
(단순형)
|
- 저수준 필터링에서 수집된 감사자료 사용
- Source Routing : 송신자가 라우터를 지정하고 IP 주소 변경
- 스머프 공격
- Ping을 브로드케스트하여 공격
- 같은 Echo Reply를 중복해서 받는 것 확인
- Land 공격 : IP와 PORT를 바꾸어 호스트를 루트상태로 놓이게 함
|
|
알고리즘
(복잡형)
|
- 일정 시간 내에 연결된 요청이 임계치를 넘는 것 탐지
- N/W 검색 공격 :N/W의 취약점을 찾는 것 탐지
- SYN Flooding 공격 :SYN신호만 보내고 ACK를 보내지 않는 것 탐지
|
|
알고리즘
(지능형)
|
- 시스템에 접속하는 모든 Telnet, 로그정보 비교로 탐지
- Buffer Overflow : 매개변수를 프로그램 수행 시 검사하여 탐지
- Rule Base에 정의된 공격
- Backdoor를 만든 침입자의 로깅정보를 분석하여 정의된 공격의 유형 탐지
|
|
유형
|
- 호스트 기반(HIDS) : 각 호스트에 IDS모듈이 설치되어 시스템의 오남용 및 불법적 접근을 탐지하고 이를 관리자에게 통보
- 네트워크 기반(NIDS) : 일반적인 IDS를 의미하는 것으로, 네트워크의 물리적 혹은 논리적 경계지점에서 동작하여 네트워크 접속 및 트래픽 분석을 통해 공격시도와 불법적 접근 탐지수행
- 하이브리드(IDS) : HDIS와 NIDS의 장점만을 취합한 IDS시스템
|