IDS는 침입탐지 시스템으로 대상 시스템에서 허가되지 않거나 비정상적인 행위를 탐지하고 보고하는 시스템을 말한다.
침입의 정의는 컴퓨터가 사용하는 자원의 기밀성, 무결성, 가용성을 저해하는 일련의 행위이며, 컴퓨터 시스템의 보안정책을 파괴하는 행위이다.
침입 수법 7가지
위장 침입 수법과 권한 획득 침입 수법은 OWASP에도 나왔던 접근권한 취약점과 연관이 있을 것 같다고 생각한다.
Data Driven은 선택과 액션을 데이터로 결정하는 방법을 의미한다고 한다.
이를 침입한다는 것은 트로이 목마나 바이러스 같은 악성코드를 이용하여 데이터자체에 해를 끼친다는 의미로 생각된다.
IDS의 필요성은 4가지를 꼽을 수 있는다.
- -내부의 불법적인 사용자의 침입이 우려될 때
- -동시 사용자의 폭주 -> IDS의 일시적인 중지가 불가피할 때 (DoS가 여기서 나오는듯)
- -무분별한 접속 서버의 사용으로 보안이 걱정될 때
- -불법적인 침입자의 악성 IP를 알고 싶을 때
IDS는 4단계로 이루어져있는데 이는 아래의 사진과 같다.
IDS 4단계
1. 정보수집단계
단일 호스트 기반과 다중 호스트 기반으로 나뉜다.
단일은 호스트의 사용내역이 기록되는 자체 로그파일이 존재하기에 이 파일로 관련 정보를 모을 수 있다. 하지만 명령어에 대한 매개변수가 기록되지않아 이를 해결할 기술이 필요하다.
다중의 경우에는 여러 호스트가 있는 만큼 트래픽이 많이 생기기 때문에 이 정보들을 잘 취합하여 정리할 필요가 있다.
2. 가공 및 축약 단계
수집한 데이터들 중 침입 판정이 가능할 수 있도록 의미있는 정보로 전환시키는 단계이다.
IDS의 핵심단계인 침입 분석 및 탐지 단계와 상호 의존적인 관계를 가지고 있으며 방대한 양의 데이터를 최대한 빨리 의미 있는 정보로 만드는 것이 중요하다.
3. 침입 분석 및 탐지 단계
IDS에서 가장 중요한 단계이다.
시스템의 취약점이나 응용 프로그램의 버그를 이용한 비정상적인 행위 탐지 기술과 오용 탐지 기술이 적용 및 시도된다.
4. 보고 및 조치단계
관리자에게 보고후, 관리자가 이에 대해 적절한 조치를 취하는 단계이다.
(만약 예시나 설명이 맞지않다고 생각한다면 쪽지나 댓글로 알려주시길 부탁합니다...)
위 내용은 이화미디어의 Introduction to Information & Security with a Workbook내용을 기반으로 작성하였습니다.