침입 탐지란 무엇입니까?

컴퓨터 네트워크 시스템의 몇 가지 주요 지점에서 정보를 수집하고 분석하여 네트워크에 보안 정책 위반 및 공격의 징후가 있는지 확인합니다. 침입 탐지는 방화벽 뒤의 두 번째 보안 게이트로 간주되며 네트워크 성능에 영향을 미치지 않고 네트워크를 모니터링하여 내부 공격, 외부 공격 및 오작동을 실시간으로 보호합니다.

검사 단계

(1) 정보 수집. 침입 탐지의 첫 번째 단계는 시스템, 네트워크, 데이터 및 사용자 활동의 상태와 동작을 포함한 정보 수집입니다.

또한 컴퓨터 네트워크 시스템의 여러 키 (네트워크 세그먼트, 호스트) 에서 정보를 수집해야 합니다. 탐지 범위를 최대한 확대하는 것 외에도, 한 출처의 정보가 의심스럽지 않을 수도 있지만, 여러 출처의 정보가 일치하지 않는 것은 의심스러운 행위나 침입의 좋은 징후라는 점도 중요한 요소입니다.

물론 침입 탐지는 수집된 정보의 신뢰성과 정확성에 크게 의존하므로 우리가 알고 있는 진실되고 정확한 소프트웨어로만 보고하면 됩니다. 해커는 종종 소프트웨어를 교체하여 하위 프로그램, 라이브러리 등의 프로그램 호출을 교체하는 도구와 같은 정보를 혼합해서 제거하기 때문입니다.

해커의 시스템 수정은 시스템을 고장나게 할 수도 있고, 정상으로 보일 수도 있지만, 사실은 그렇지 않다. 예를 들어, 유닉스 시스템의 PS 명령어는 침입 프로세스를 표시하지 않는 명령어로 바꿀 수도 있고, 편집기를 지정된 파일과 다른 파일로 바꿀 수도 있습니다 (소지자는 초기 파일을 숨기고 다른 버전으로 대체).

이를 위해서는 네트워크 시스템을 감지하는 데 사용되는 소프트웨어의 무결성을 보장해야 합니다. 특히 침입 감지 시스템 소프트웨어 자체는 변조를 방지하고 오류 정보를 수집하는 것을 방지하기 위해 상당히 견고해야 합니다.

(2) 신호 분석. 일반적으로 세 가지 기술적 수단을 사용하여 시스템, 네트워크, 데이터, 사용자 활동의 상태 및 동작에 대한 네 가지 정보 (패턴 일치, 통계 분석 및 무결성 분석) 를 분석합니다. 처음 두 가지 방법은 실시간 침입 탐지에 사용되고 무결성 분석은 사후 분석에 사용됩니다.