티스토리 뷰
침입 탐지 시스템(IDS)
침입 패턴 정보를 데이터베이스에 저장하고 지능형 엔진을 사용해 네트워크나 시스템의 침입을 실시간으로 모니터링하고 침입탐지 여부를 확인하는 보안 시스템.
IDS 실행 과정
1)정보 수집 : 탐지를 위한 근원적 자료 수집. 출처에 따라 NIDS(Network IDS),HIDS(hardware IDS)로 구분.
2)정보 가공 및 축약 : 불필요한 정보 제거, 침입 판정을 위한 자료만 남김.
3)침입 분석 및 탐지 : 정보를 기반으로 침입 여부 분석. 오용탐지와 이상탐지로 구분
4)보고 및 조치 : 보고 및 대응조치. 다른 장비와 연계
오용탐지
- 침입탐지 정보를 기반(시그니처 기반, 지식 기반)으로한 데이터베이스(RULE SET)와 침입 흔적을 비교해 동일하면 침입으로 식별함.
- 오탐율이 낮은 장점이 있지만, APT나 zero day attack에 취약.
- 속도가 빠르고 구현이 쉽다.
- False Positive가 낮음.(침입이 아니지만 침입이라 판단.)
- False Negative가 큼.(침입이지만 침입이 아니라 판단.)
이상탐지
- 정상패턴을 저장하고 정상 활동과 다른 흔적을 발견하면 침입으로 식별.
- 오탐율이 높지만, APT나 zero day attack을 탐지할 수 있음.
- 신경망, 통계적 방법, 특징 추출을 사용함.
- False Positive가 큼.
NIDS
- 네트워크에 흐르는 패킷들을 검사.
- 방화벽 외부의 DMZ나 방화벽 내부의 내부 네트워크 모두 배치 가능.
- promiscuous 모드로 동작하는 네트워크 장치(무차별적으로 패킷을 확인하는 방법)
- 네트워크 자원의 손실 및 패킷의 변조가 없음
- 실시간 탐지.
- 감시 영역이 넓음.
- 부가 장비 필요.
- Fasle Positive 높음.
- DDoS 탐지만 가능. 대응 불가능.
HIDS
- 시스템 상에 설치, 사용자가 시스템에서 행하는 행위, 파일의 체크를 통해 침입 판단.
- 웹 서버, DB에 설치.
- 시스템 로그, 시스템 콜, 이벤트 로그
- 내부자에 의한 공격, 바이러스, 웜, 백도어 등 탐지
- 감시 영역이 하나의 시스템.
- 탐지 가능한 공격에 한계가 있음.
지식기반 탐지 기법
- 전문가 시스템
- 시그니처 분석
- 페트리넷
- 상태전이
- 신경망
- 유전 알고리즘
행위기반 탐지 기법
- 통계적 방법
- 컴퓨터 면역학
- 데이터 마이닝
- 머신러닝
'네트워크' 카테고리의 다른 글
무선 LAN (0) | 2020.10.12 |
---|---|
VPN (0) | 2020.10.12 |
snort rules (0) | 2020.10.12 |
syn flooding,icmp land attack,ping of death (0) | 2020.08.12 |
와이어샤크 패킷 필터링 (0) | 2020.08.11 |
- Total
- Today
- Yesterday
- Ethernet
- cuckoo
- one-to-many
- SOME/IP
- problem statement
- 논문 잘 쓰는법
- many-to-one
- porks
- AVTP
- 머신러닝
- 차량용 이더넷
- 딥러닝
- CAN-FD
- PCA
- 케라스
- json2html
- SVM
- 회귀
- many-to-many
- automotive ethernet
- automotive
- 단순선형회귀
- AE
- Python
- 차량 네트워크
- 이상탐지
- HTML
- 로지스틱회귀
- AVB
- 크로스 엔트로피
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |