Intrusion Detection System

• 악의적인 활동 또는 정책 위반에 대해 네트워크 및 시스템 활동을 모니터링 하고, 관리 스테이션에 보고서를 생성하는 장치나 SW

• 네트워크 기반, 호스트 기반, 서명 기반, 이형 기반

• Alert / Alarm : 시스템이 공격 받았거나 공격 중임을 나타내는 신호

• True Positive : IDS를 트리거하여 경보를 발생시키는 합법적 인 공격

• 거짓 긍정 (False Positive) : 공격이 발생하지 않았을 때 경보를 생성하도록 IDS에 신호를 보내는 이벤트

• 잘못된 부정 : IDS가 실제 공격을 탐지하지 못함

• True Negative : 아무런 공격도 일어나지 않고 경보가 발생하지 않을 때

• 경보 필터링 : 실제 공격과 가양 성을 구별하기 위해 IDS에서 생성 된 공격 경보를 분류하는 프로세스

Host-based IDS

• 외부 인터페이스에서 네트워크 패킷이 아닌 컴퓨팅 시스템의 내부를 모니터링하고 분석하는 침입 탐지 시스템
• HIDS는 MD5 SHA-1을 사용하여 파일과 메모리 내용을 검사한다.

Network-based IDS

• 네트워크 트래픽을 모니터링하여 DoS 공격, 포트 검사 또는 악의적인 활동을 탐지하려고 시도한다.
• 패시브 모니터링 : 들어오는 모든 패킷을 읽고 시그니처 또는 규칙으로 알려진 의심스러운 패턴을 찾는다
• Evasion Technique : 여러 패킷에 걸친 문자열, 조각난 패킷, TCP 세그먼트 엎어 쓰기