기술용어/정보보안

IDS(TMS)

아이티신비 2024. 6. 17. 09:00

IDS(Intrusion Detection System)

정의
  • 대상 시스템에서 허가되지 않거나 비정상적인 행위에 대하여 탐지, 식별하고 보고하는 기능을 가진 보안 솔루션
  • 침입을 목적으로 특정 시스템에 불법적으로 접속하여 시스템을 사용, 오용, 남용하는 것을 감지하고, 문제를 처리하는 시스템
  • 각종 침입 행위들을 자동으로 탐지, 대응, 보고하는 보안 시스템
  • 내부 네트워크의 모든 행동들을 감시 및 기록, 이상 상황의 발생 시 이를 파악하고 불법 행동을 일으킨 Packet을 차단하는 시스템
  • 시스템의 비정상적인 사용, 오용, 남용 등을 탐지하여 알려주는 시스템
구조
  • 오용탐지(Misuse Detection) : 알려진 취약점을 이용하여 공격하는 행위를 사전에 저장된 공격패턴 정보로 탐지하는 방법
  • 비정상 탐지(Anomaly Detection) : 정상적인 프로파일과 시스템 상태를 유지하면서 이 프로파일에 벗어나는 행위를 탐지
주요기능
  • 트래픽 분석 : 프로토콜 별 트래픽 사용량 분석 및 추이분석
  • 유해 트래픽 분석 : Bps, Session 단위 유해 트래픽 산정 및 추이분석
  • 이상징후 : 트래픽 기반, 이벤트 기반 발생량 및 분포 변화 분석
  • 침입탐지 이벤트 : 이벤트 유형, IP별 통계, Ton N 이벤트 분류
구성요소
  • 패턴DB : 패턴생성기에 의해 생성된 패턴의 저장관리
  • 패턴 생성기 : 침입분석자료를 통해 패턴을 생성
  • 이벤트보고기 : 로그저장소의 분석결과를 해당 관리자에게 보고
  • 로그저장소 : 분석된 결과의 저장
  • 정보분석기 : 시스템 설정가 패턴DB 설정에 따라 정보분석
  • 정보수집기 : 호스트나 네트워크로 부터 분석자료 수집
알고리즘
(단순형)
  • 저수준 필터링에서 수집된 감사자료 사용
  • Source Routing : 송신자가 라우터를 지정하고 IP 주소 변경
  • 스머프 공격
  • Ping을 브로드케스트하여 공격
  • 같은 Echo Reply를 중복해서 받는 것 확인
  • Land 공격 : IP와 PORT를 바꾸어 호스트를 루트상태로 놓이게 함
알고리즘
(복잡형)
  • 일정 시간 내에 연결된 요청이 임계치를 넘는 것 탐지
  • N/W 검색 공격 :N/W의 취약점을 찾는 것 탐지
  • SYN Flooding 공격 :SYN신호만 보내고 ACK를 보내지 않는 것 탐지
알고리즘
(지능형)
  • 시스템에 접속하는 모든 Telnet, 로그정보 비교로 탐지
  • Buffer Overflow : 매개변수를 프로그램 수행 시 검사하여 탐지
  • Rule Base에 정의된 공격
  • Backdoor를 만든 침입자의 로깅정보를 분석하여 정의된 공격의 유형 탐지
유형
  • 호스트 기반(HIDS) : 각 호스트에 IDS모듈이 설치되어 시스템의 오남용 및 불법적 접근을 탐지하고 이를 관리자에게 통보
  • 네트워크 기반(NIDS) : 일반적인 IDS를 의미하는 것으로, 네트워크의 물리적 혹은 논리적 경계지점에서 동작하여 네트워크 접속 및 트래픽 분석을 통해 공격시도와 불법적 접근 탐지수행
  • 하이브리드(IDS) : HDIS와 NIDS의 장점만을 취합한 IDS시스템


 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥

'기술용어 > 정보보안' 카테고리의 다른 글

ISMS(Information Security Management System)  (0) 2024.06.18
IPS(Intrusion Prevention System)  (0) 2024.06.17
EMS(Enterprise Security Management)  (0) 2024.06.16
DDoS(Distributed Denial of Service)  (0) 2024.06.16
CC(Common Criteria)  (0) 2024.06.15