제3과목 19. 침입 탐지 시스템 (IDS : Intrusion Detection System)
페이지 정보
본문
19. 침입 탐지 시스템 (IDS : Intrusion Detection System)
⑴ 정의
침입 탐지 시스템은 침입 패턴 데이터베이스와 Expert System을 이용해 네트워크와 시스템의 사용을 실시간 모니터링하고 비 관련자, 무(無) 인가자(認可者) 등이 접속하거나 시스템을 조작하는 경우 또는 관련자, 인가자의 잘못된 사용 등을 감시한다.
그와 같은 상황을 가능한 한 조기에 발견하고 즉시 대처하는 것이 침입 탐지 시스템의 최종 역할이다. 또한 침입 차단 시스템을 설치하지 못하였거나 침입 차단 시스템의 역할이 실패한 경우에 사용될 수 있는 재발 방지책이라고 할 수 있다.
⑵ 침입 탐지 시스템의 분류
① 기초 자료의 종류에 따른 분류
a. 단일 호스트 기반(Host Based)
IDS가 설치된 단일 호스트에서만 생성되고 수집된 감사(audit) 자료를 침입 탐지에 활용하는 방식.
b. 다중 호스트 기반(Multihost Based)
단일 호스트 기반과 동일한 방법이나 여러 호스트의 자료를 활용하는 방식이다.
c. 네트워크 기반(Network Based)
일정 부분의 네트워크 전체의 패킷 관련 자료를 수집하여 침입 탐지에 활용하는 방식이다.
② 침입 행위 기준에 따른 분류
a. 비정상적인 행위의 탐지 - 정상행위 목록 보유
정상적인 시스템의 사용 행위에 대한 프로파일(profile)을 보유하고 있다가 어떤 행위가 이 프로파일의 기준에서 벗어나면 즉시 탐지 작업을 수행하는 방식이다.
b. 잘못된 행위의 탐지 - 비정상행위 목록 보유
시스템의 잘 알려진 취약점들을 공격하는 행위들에 대한 프로파일을 보유하고 있다가 해당 공격이 취해지면 즉시 탐지 작업에 들어가는 방식이다.