it-swarm-korea.com

침입 탐지 시스템 (IDS)은 어떻게 작동합니까?

침입 탐지 시스템 (IDS)은 어떻게 작동합니까? 내가 알기로 네트워크 트래픽을 모니터링하지만 정확히 무엇을 찾습니까? 침입자들과 정기적 인 활동을 어떻게 구분할 수 있습니까?

15
Olivier Lalonde

일반적으로 네트워크 기반과 호스트 기반의 두 가지 IDS가 있으며 이는 시그니처 또는 통계 응답 유형일 수 있습니다.

Signature IDS 는 간단하고 빠르며 쉽게 업데이트 할 수 있습니다. 일반적으로 공급 업체는 바이러스 백신 공급 업체가 바이러스 서명을 제공하는 방식과 유사한 서명 파일을 제공합니다. 이러한 이유로 대부분의 IDS는 서명 인식을 사용합니다. 단점은 기존 공격과 일치하는 서명이없는 한 새로운 공격을 식별하지 못한다는 것입니다.

통계 또는 휴리스틱 IDS 는 '좋은'트래픽 또는 정상적인 트래픽이 어떤 모양인지 배우고 정상이 아닌 것을 경고합니다. 이는 새로운 공격을 발견하는 데 훨씬 효과적이지만 새로운 서버, 서비스를 처음 설치할 때 그리고 정기적으로 새로운 트래픽 유형이나 볼륨이 예상되는 경우 학습 기간이 필요하다는 것을 의미합니다.

네트워크 기반 IDS 는 일반적으로 조직의 경계에서 구현되며 조직에 들어오고 나가는 모든 트래픽의 가시성을 가지고 있습니다. 트래픽에 악의적 인 것으로 표시되면 응답 시스템이나 개인에게 기록되거나 플래그가 지정됩니다.

대규모 조직의 경우 서로 다른 유효한 트래픽 유형이 매우 많을 수 있으며 트래픽 유형은 시간이 지남에 따라 달라질 수 있으므로 주변 네트워크 기반 IDS의 지속적인 구성 및 조정에는 많은 리소스가 필요할 수 있습니다. 이러한 이유로 대기업의 대다수는이 서비스를 여러 조직에 서비스를 제공하는 공급 업체에게 아웃소싱합니다. 이러한 공급 업체는 발생하는 공격에 대한 가시성을 향상시키고 튜닝 및 대응에 대한 확장 이점과 모든 클라이언트의 서명을 한 번에 업데이트 할 수 있습니다.

호스트 기반 IDS 는 일반적으로 특정 고 부가가치 서버를 위해 사내에서 구현됩니다. 트래픽 유형과로드는 일반적으로 훨씬 낮고 예측 가능하므로 리소스 요구 사항은 일반적으로 더 낮습니다.

또한 예외 기반 (통계적) IDS에 대한 토론 이 질문 을 살펴보십시오.

16
Rory Alsop

Wikipedia의 시작이 좋았습니다 이 질문에 대한 답변입니다.

발췌 :

모든 침입 탐지 시스템은 다음 두 가지 탐지 기술 중 하나를 사용합니다.

통계 이상 기반 IDS :

통계 이상 기반 IDS는 일반적인 네트워크 트래픽 평가를 기반으로 성능 기준을 설정합니다. 그런 다음베이스 라인 매개 변수 내에 있는지 여부를 감지하기 위해이베이스 라인에 대한 현재 네트워크 트래픽 활동을 샘플링합니다. 샘플링 된 트래픽이 기준치 매개 변수를 벗어나면 경보가 트리거됩니다.

서명 기반 ID :

시그니처라고하는 사전 구성된 공격 패턴에 대해 네트워크 트래픽을 검사합니다. 오늘날 많은 공격에는 고유 한 서명이 있습니다. 올바른 보안 관행에서 이러한 시그너처 모음은 지속적으로 업데이트되어 새로운 위협을 완화해야합니다.

3
DCookie