[ 정보보안기사 / 정보보안산업기사 ]
침입탐지시스템 / 침입방지시스템
(IDS / IPS)
1. 침입 탐지 시스템 (IDS, Intrusion Detection System)
- 호스트나 네트워크에 대한 침입을 탐지하여 관리자에게 알려주는 시스템
- 침입 할 때의 패턴을 등록하여 그 패턴은 침입이라고 탐지
- 미러링 모드 ( 패킷을 사본 떠서 설계된 보안장비에 투입하여 탐지 )
IDS의 탐지방법
오용탐지 ( 지식기반 탐지, 패턴기반 탐지 )
- 공격에 대한 패턴을 등록하고 그 패턴과 비교하여 일치하는 경우 침입이라고 판단
- 장점 : 오탐률(탐지 했을 시 침입이 아닐 확률) 낮음
- 단점 : 미탐률(침입 시 탐지하지 못할 확률) 높음 ( 알려지지 않은 공격에 대해 탐지 못할 확률 증가 )
이상탐지 ( 행위기반 탐지 )
- 정상행위를 벗어나는 데이터에 대해 침입이라고 판단
- 장점 : 미탐률 낮음 ( 알려지지 않은 공격도 탐지 가능 )
- 단점 : 오탐률 높음 ( 정상행위와 비정상행위 구분 어렵 )
IDS 종류
호스트 기반 IDS (HIDS)
호스트에 설치하는 IDS로 호스트나 서버에 침입하거나 불법적인 권한탈취 등을 감시하여 침입을 탐지한다.
파일에 대한 무결성을 검사하는 tripwire툴이 해당된다.
네트워크 기반 IDS (NIDS)
네트워크에 설치하는 IDS로 네트워크 상의 패킷을 감시하여 침입을 탐지한다.
패킷캡쳐링, 패킷분석 등을 실행하는 snort툴이 해당된다.
2. 침입방지시스템 (IPS, Intrusion Prevention System)
- 외부에서 내부로 침입 전 사전 방지하는 시스템
- 패킷필터링 기능이 있는 iptables툴이 해당된다.
- 인라인 모드 ( 패킷이 모든 보안장비를 거쳐서 전달되는 모드 )
문제)
IDS와 IPS의 실행방식에 대해 설명하시오.
답)
IDS 침입탐지시스템은 패킷 수집을 위해 미러링 방식을 사용하고
IPS 침입방지시스템은 패킷이 모든 장비를 거쳐 전달되는 인라인 방식을 사용하여 직접 차단한다.
문제)
1) 비정상 행위에 대한 패턴을 입력하여 일치하는 패턴을 탐지하는 방법이다. 오탐률이 낮지만 새로운 공격 패턴은 탐지가 어렵다. 2) 패턴을 미리 등록해두진 않지만 정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상을 구분하는 방법이다. 3) 비정상적인 접근을 정상적인 접근이라고 잘못 판단하는 오류
답)
1. 오용탐지
2. 이상탐지
3. 미탐
#정보보안기사
#정보보안기사 실기
#IDS
#IPS
#침입탐지시스템
#침입방지시스템
#미탐
#오탐
'[자격증] 정보보안기사 > ↘ 정보보안 실무' 카테고리의 다른 글
| [ 정보보안기사 / 정보보안산업기사 ] 업무 연속성 계획 (BCP) (0) | 2020.06.04 |
|---|---|
| [ 정보보안기사 / 정보보안산업기사 ] 파일 업로드 취약점 (0) | 2020.06.04 |
| [ 정보보안기사 / 정보보안산업기사 ] 디렉터리 인덱싱 (0) | 2020.06.04 |
| [ 정보보안기사 / 정보보안산업기사 ] 로봇 배제 표준 (robots.txt) (0) | 2020.06.04 |
| [ 정보보안기사 / 정보보안산업기사 ] ARP 프로토콜 (0) | 2020.06.04 |
댓글