IDS(Intrusion Detection System)

네트워크에서 시도되는 비정상적인 접근을 탐지한다.  IDS가 보안사고에 대한 근본적인 차단·해결책은 되지 못한다. 하지만 네트워크 트래픽을 분석하여 공격의 증거를 찾거나 침해여부를 판단할 수 있다. 이상행위가 발견 될 경우 즉각 대응하고 사후 대비책을 강구할 수 있다.

IDS에서도 탐지후 즉시 대응 및 조치 기능이 없는 것은 아니나 팀지오류의 가능성이 있기에 대개는 대응여부는 사람이 결정하고 IDS는 근거 데이터를 제공한다.

참고로 IDS든, IPS든 물리적인 장비로 판매되는 경우가 있지만, 기본적으론 소프트웨어이다.

긍정오류와 부정오류

보수적인 입장으로 비정상의 기준을 넓게 잡으면 정상적인 행동이 비정상으로 분류되는 불상사가 있을 수 있다. 그러다 반대로 좁게 잡으면 비정상 행위가 정상으로 인식 될 가능성이 있다.

긍정오류(False Positive) : 정상행위가 비정상행위로 잘못 탐지된다.

부정오류(False Negative) : 비정상행위가 정상행위로 잘못 탐지된다.

실행 단계

1. 데이터 수집(Raw Data Collection)

2. 데이터 가공 및 축약(Data Reduction and Filtering)

3. 침입 분석 및 탐지(Intrusion Analysis and Detection)

4. 보고 및 대응(Reporting and Response)

이 중 2, 3번이 핵심 기능이라 할 수 있다. 

탐지방법에 의한 분류

(1) 규칙기반 침입탐지

비정상 행위에 대한 패턴을 사전에 입력하여 일치하는 패턴을 찾아낸다.

- 전문가 시스템(Knowledge-based Detection)

- 상태전이 모델

- 패턴 매칭(Signature-based Detection)

장단점

- 오탐률이 낮다.

- 새로운 패턴은 탐지 불가

- 속도 느림

(2) 통계적 침입탐지

정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상을 구분한다.

- 통계적 분석

- 예측 가능한 패턴 생성

- 신경망 모델

장단점

- 패턴 자동 업데이트

- 새로운 패턴 탐지 가능

- 오탐률이 높음

- 정상/비정상 기준 수립이 힘듦

데이터 수집원에 의한 분류

(1) 네트워크 기반 IDS(NIDS : Network based IDS)

네트워크를 바라보고 설치된다. IDS가 설치된 서버 또는 별도의 장비(감지기)를 네트워크 앞단에 설치하여 두고 네트워크에서 오가는 트래픽들을 분석한다. 

- 네트워크 전체를 몇개의 감지기를 통해 커버하므로 비용이 저렴하다.

- 운영체제에 독립적이다.

- 흘러가는 트래픽을 수집하여 분석하므로 해커가 임으로 지우기 어렵다.

- 암호화된 트래픽은 분석이 불가능하다.

- 고속 네트워크에선 패킷 손실이 많다.

- 호스트 내부에서 벌어지는 비정상적인 행위에 대해선 감지가 불가능하다.

(2) 호스트 기반 IDS(HIDS : Host based IDS)

특정 호스트시스템에서 수집된 감사자료를 분석하고 비정상 행위를 탐지한다.

- 탐지가 정확하다. NIDS와 다르게 모두 복호화된 데이터를 분석하고 패킷의 손실도 없다.

- 추가적인 장비가 필요하지 않다.

- 운영체제에 종속적이다. (리눅스 전용 IDS면 윈도우 서버에선 못 쓴다.)

- 시스템에 부하가 발생한다.

- 구현이 어렵다.