1. IDS (침입탐지시스템)
ㅇ 지역 네트워크나 호스트에 위치하여,
- 그 지역 내 호스트 또는 네트워크에 대한 침입을 즉시 탐지하고,
- 이에 즉각 대처할 수 있도록, 관리자에게 통보하는 시스템
ㅇ 목표
- 침입자에 대한 불법적인 사용을 탐지하고, 합법적인 사용자의 오용 또는 남용 탐지
2. 침입탐지 구분
ㅇ 시스템 구분
- HIDS (Host-based IDS) 또는 SIDS(Server-based IDS) : 서버 기반
. 탐지대상 : 네트워크를 지나가는 패킷
. 설치단위 : 네트워크
. 기반기술 : 패킷 캡쳐링, 프로토콜 패킷 분석, 패킷 조각 모음
. 주요기능 : 실시간 네트워크 감시, 실시간 접속 감시
- NIDS (Network-based IDS) : 네트워크 기반
. 탐지대상 : 서버 사용자들의 활동
. 설치단위 : 호스트
. 기반기술 : 프로세스 모니터링, 실시간 로그 분석, TTY 모니터링
. 주요기능 : 특정 서버의 내외부 침입자 감시, 불법적인 권한 획득 시도 탐지
ㅇ 침입탐지기술 구분
- Behavior-based Intrusion Detection (Anomaly Detection)
. 정상적인 행위와 비교하여 비정상적인 행위를 탐지
- Knowledge-based Intrusion Detection (Misuse Detection)
. 이미 알고있는 지식을 바탕으로한 탐지
3. 침입탐지시스템과 방화벽의 차이
ㅇ 침입탐지시스템이 방화벽과의 가장 큰 차이는,
- 어플리케이션 계층에서 단순 필터링 보다는 심화된 분석을 수행한다는 점
. 통상, 방화벽은 단지 IP 주소 및 포트 번호 만으로 차단 여부를 결정함
- 또한, 수동적이어서 차단 보다는 탐지하고 이를 알려주는데에 촛점을 맞춤