IDS   Intrusion Detection System   침입탐지시스템

(2023-02-07)

1. IDS (침입탐지시스템)

  ㅇ 지역 네트워크호스트에 위치하여, 
     - 그 지역 내 호스트 또는 네트워크에 대한 침입을 즉시 탐지하고,
     - 이에 즉각 대처할 수 있도록, 관리자에게 통보하는 시스템

  ㅇ 목표
     - 침입자에 대한 불법적인 사용을 탐지하고, 합법적인 사용자의 오용 또는 남용 탐지


2. 침입탐지 구분시스템 구분
     - HIDS (Host-based IDS) 또는 SIDS(Server-based IDS) : 서버 기반
        . 탐지대상  : 네트워크를 지나가는 패킷 
        . 설치단위  : 네트워크
        . 기반기술  : 패킷 캡쳐링, 프로토콜 패킷 분석, 패킷 조각 모음
        . 주요기능  : 실시간 네트워크 감시, 실시간 접속 감시
     - NIDS (Network-based IDS)                          : 네트워크 기반
        . 탐지대상  : 서버 사용자들의 활동
        . 설치단위  : 호스트
        . 기반기술  : 프로세스 모니터링, 실시간 로그 분석, TTY 모니터링
        . 주요기능  : 특정 서버의 내외부 침입자 감시, 불법적인 권한 획득 시도 탐지

  ㅇ 침입탐지기술 구분
     - Behavior-based Intrusion Detection (Anomaly Detection)
        . 정상적인 행위와 비교하여 비정상적인 행위를 탐지
     - Knowledge-based Intrusion Detection (Misuse Detection)
        . 이미 알고있는 지식을 바탕으로한 탐지


3. 침입탐지시스템과 방화벽의 차이

  ㅇ 침입탐지시스템이 방화벽과의 가장 큰 차이는,
     - 어플리케이션 계층에서 단순 필터링 보다는 심화된 분석을 수행한다는 점
       . 통상, 방화벽은 단지 IP 주소포트 번호 만으로 차단 여부를 결정함
     - 또한, 수동적이어서 차단 보다는 탐지하고 이를 알려주는데에 촛점을 맞춤

시스템 보안
   1. 방화벽(IPS)   2. 침입탐지시스템(IDS)   3. 통합인증 및 권한관리 (EAM)   4. 베스천 호스트   5. 조기경보시스템   6. DMZ 영역   7. 망 분리   8. 네트워크 접근 제어  


Copyrightⓒ written by 차재복 (Cha Jae Bok)               기술용어해설 후원
"본 웹사이트 내 모든 저작물은 원출처를 밝히는 한 자유롭게 사용(상업화포함) 가능합니다"