[보안] IDS의 개념과 종류: 지식(오용 탐지), 행위(이상 탐지), 호스트(HIDS), 네트워크(NIDS)

 IDS는 침입 탐지 시스템으로, 설치 위치나 탐지 방식 등에 따라 다양한 종류가 있습니다. 각 방식에 따른 IDS에 대해 알아보겠습니다.

 

[ Contents ]

 

 

1. IDS (침입 탐지 시스템, Intrusion Detection System)

네트워크나 시스템 내 비정상적인 접근을 탐지하는 시스템

 

 IDS는 침입 '탐지' 시스템으로, 방지하거나 저지하는 기능은 없습니다.

 

2023.05.18 - [CS] - [보안] 방화벽의 개념과 방화벽의 작동 방식: 인바운드 규칙, 아웃바운드 규칙, 블랙리스트, 화이트리스트

[보안] 방화벽의 개념과 방화벽의 작동 방식: 인바운드 규칙, 아웃바운드 규칙, 블랙리스트, 화이

 방화벽이 사전에 정의된 특정 포트와 IP의 접근을 제어하는 시스템이었다면, IDS는 모니터링을 통해서 침입을 탐지합니다. 모니터링 방법은 다양하며, 그 방식에 따라 IDS가 분류됩니다.

 

 

 

2. 탐지 방법에 따른 IDS

1) 지식 기반 (오용 탐지)

정해진 규칙, 패턴, 신호를 기반으로 탐지

 

 미리 정의된 공격 패턴과 일치 여부로 침입을 판단하는 방식입니다. 단순히 패턴 비교만 하면 되므로, 속도가 빠르고 구현도 쉽습니다. 또한 정확히 공격 패턴과 일치하는 것만 탐지하므로 오탐율도 낮습니다.

 하지만 알려지지 않은 공격은 탐지할 수 없으며, 대량의 자료 분석에도 부적합합니다.

 

 

2) 행위 기반 (이상 탐지)

정상적인 시스템 또는 네트워크의 동작 패턴을 학습하여, 비정상적인 활동을 감지

 

 정상적, 평균적 상태를 넘어서는 급격한 변화가 있을 때 침입으로 판단합니다.

 통계적 방법 외에, 요즘은 사용자 패턴을 학습하는 딥러닝을 이용해서 판별하기도 합니다. (오용 탐지가 if-else 조건 기반의 전문가 시스템이었다면, 이상 탐지는 신경망을 이용한 딥러닝 방식)

 다만 정상과 비정상을 결정하는 임계치 설정이 어려우며, 오탐율도 높은 편입니다. 그렇지만 알려지지 않은 공격 패턴에도 대응할 수 있다는 장점이 있습니다.

 

 

 

3. 데이터 수집원에 따른 IDS

1) 호스트 기반 (HIDS)

호스트 활동을 감시 (시스템 로그, 파일 시스템, 프로세스 등)

 

 로컬 시스템 내의 활동을 모니터링하는 IDS입니다. 호스트가 중요 파일이나 설정값을 변경하여 시스템을 위험에 노출시킨다면 침입으로 판단합니다.

 해킹이나 내부자에 의한 공격을 막을 수 있으며, 설치 및 관리가 용이합니다. 다만 오탐으로 인해 정상 호스트가 작업을 수행할 수 없는 문제가 발생할 수 있습니다.

 

 

2) 네트워크 기반 (NIDS)

네트워크 활동을 감시 (트래픽 감시 / 악성행위, 침입 시도 탐지)

 

 Promiscuous 모드*로 동작하는 네트워크 장치로 정보를 수집, 감시합니다.

 실시간으로 탐지하며, 감시 영역이 HIDS에 비해 넓습니다. (하나의 네트워크를 통과하는 모든 트래픽을 감시)

 다만 암호화된 패킷은 분석할 수 없으며, 탐지량이 많은 만큼 오탐율도 높습니다.

 

* Promiscuous mode(무차별 모드): 모든 트래픽(수신자가 자신이 아닌 것도 포함)을 수신하는 모드 

 (직통선이 아닌 이상, 데이터는 브로드캐스트로 전달되며 자신의 패킷만 넘기고 남의 패킷은 버립니다.)