네 가지 일반적인 침입 탐지 방법을 간략하게 설명합니다.

1, 피쳐 체크

서명 기반 테스트는 오용 탐지라고도 합니다. 이 탐지는 침입자의 활동을 하나의 패턴으로 나타낼 수 있다고 가정하고, 시스템의 목표는 에이전트의 활동이 이러한 패턴과 일치하는지 여부를 감지하는 것입니다.

그것은 기존의 침입 방법을 검사할 수 있지만, 새로운 침입 방법에 대해서는 아무것도 할 수 없다. 어려운 점은' 침입' 현상을 표현할 수 있는 모델을 설계하는 방법이며, 정상적인 활동도 포함하지 않는다는 것이다. (알버트 아인슈타인, 도전명언)

2. 이상 감지

이상 탐지는 침입자의 활동이 정상 주체의 활동과 다르다고 가정합니다. 이 아이디어에 따르면 피실험자의 정상적인 활동에 대한' 활동 윤곽' 을 만들어 피실험자의 현재 활동 상태를' 활동 윤곽' 과 비교한다. 그것이 통계법을 위반할 때, 그 활동은 일종의' 침입' 행위일 수 있다고 생각한다.

예외 탐지의 어려움은 "활성 윤곽" 을 설정하고 일반 작업을 "침입" 으로 간주하거나 실제 "침입" 동작을 무시하도록 통계 알고리즘을 설계하는 방법입니다.

확장 데이터

침입 분류:

1, 호스트 기반

일반적으로 운영 체제의 감사 및 추적 로그를 데이터 소스로 사용하며, 일부는 호스트 시스템과 사전 예방적으로 상호 작용하여 시스템 로그에 없는 정보를 수집하여 침입을 감지합니다.

이 감지 시스템은 추가 하드웨어가 필요하지 않으며 네트워크 트래픽에 민감하지 않고 효율적입니다. 침입을 정확하게 찾아 적시에 대응할 수 있지만 호스트 자원을 차지하며 호스트의 신뢰성에 의존하므로 감지할 수 있는 공격 유형은 제한적입니다. 사이버 공격을 감지할 수 없습니다.

2, 네트워크 기반

네트워크에서 전송되는 원시 트래픽을 수동적으로 모니터링하고, 얻은 네트워크 데이터를 처리하고, 유용한 정보를 추출하고, 알려진 공격 특징과의 일치 또는 정상 네트워크 동작 프로토타입과의 비교를 통해 공격 이벤트를 식별합니다.

이 테스트 시스템은 운영 체제에 의존하지 않고 다양한 운영 체제 플랫폼에 적용할 수 있습니다. 구성이 간단하고 특별한 감사 및 로그인 메커니즘이 필요하지 않습니다. 프로토콜 공격 및 특정 환경에서의 공격과 같은 다양한 공격을 감지할 수 있습니다.

그러나 네트워크 세그먼트를 통과하는 활동만 모니터링할 수 있고 호스트 시스템의 실시간 상태를 얻을 수 없으므로 정확도가 떨어집니다. 대부분의 침입 탐지 도구는 네트워크 기반 침입 탐지 시스템입니다.

3. 분포

이 침입 탐지 시스템은 일반적으로 분산되며 여러 구성 요소로 구성됩니다. 호스트 침입 탐지는 중요한 호스트에 사용되고 네트워크 침입 탐지는 네트워크의 중요한 노드에 사용됩니다. 또한 호스트 시스템의 감사 로그와 네트워크의 데이터 스트림을 분석하여 보호 대상 시스템이 공격을 받는지 여부를 확인합니다.

바이두 백과-침입 탐지