침입 탐지 시스템 분류?

(1) 예외 감지: 예외 감지의 가정은 침입자의 활동이 정상 주체에 비해 비정상적이라는 것입니다. 정상적인 활동의 "활동 프로필" 을 만듭니다. 현재 주체의 활동이 통계 법칙을 위반하면' 침입' 으로 간주될 수 있다. 시스템의 동작이나 사용의 변화를 감지함으로써.

(2) 피쳐 감지: 피쳐 탐지는 침입자의 활동을 패턴으로 표현할 수 있다고 가정하고 관찰된 객체를 해당 패턴과 비교하여 해당 패턴과 일치하는지 여부를 확인합니다.

(3) 프로토콜 분석: 네트워크 프로토콜의 고도의 규칙성을 이용하여 공격의 존재를 신속하게 탐지한다.

모니터링되는 객체가 호스트인지 네트워크인지에 따라 호스트 기반 침입 탐지 시스템과 네트워크 기반 침입 탐지 시스템으로 나눌 수 있습니다.

(1) 호스트 기반 침입 탐지 시스템: 호스트의 감사 레코드를 모니터링 및 분석하여 침입을 탐지합니다. 적시에 감사를 수집할 수 있는지 여부는 이러한 시스템의 약점 중 하나이며 침입자는 침입 감지 시스템을 피하기 위해 호스트 감사 하위 시스템에 목표를 맞춥니다.

(2) 네트워크 기반 침입 탐지 시스템: 네트워크 기반 침입 탐지 시스템은 * * * 공유 네트워크 세그먼트의 통신 데이터를 수신하여 데이터를 수집하고 의심스러운 현상을 분석합니다. 이 시스템은 호스트에서 엄격한 감사가 필요하지 않고, 호스트 자원을 적게 사용하며, 이기종 호스트의 다양한 아키텍처에 관계없이 네트워크에 공통된 보호 기능을 제공합니다.

(3) 분산 침입 탐지 시스템: 이 기술은 현재 ISS 의 RealSecure 와 같은 제품에 적용되었습니다. 감지된 데이터도 네트워크의 패킷에서 가져옵니다. 차이점은 분산 감지 및 중앙 집중식 관리 방식을 사용한다는 점입니다. 즉, 각 네트워크 세그먼트에 블랙박스를 설치하는 것은 네트워크 기반 침입 탐지 시스템과 동일하지만 사용자 인터페이스가 없습니다. 블랙박스는 네트워크 세그먼트의 데이터 흐름을 모니터링하는 데 사용됩니다. 중앙 집중식 보안 관리 센터에서 제정한 보안 정책 및 응답 규칙에 따라 네트워크 데이터를 분석 및 감지하고 보안 이벤트 정보를 중앙 집중식 보안 관리 센터에 제공합니다. 중앙 집중식 보안 관리 센터는 전체 분산 침입 탐지 시스템의 사용자 지향 인터페이스입니다. 데이터 보호 범위가 넓지만 네트워크 트래픽에 어느 정도 영향을 미치는 것이 특징입니다.

작동 방식에 따라 오프라인 감지 시스템과 온라인 테스트 시스템으로 나뉩니다.

(1) 오프라인 감지 시스템: 오프라인 감지 시스템은 비실시간 시스템으로, 사후 분석을 통해 감사 이벤트를 분석하여 침입 활동을 검사합니다. 침입 후 탐지는 네트워크 보안 전문 지식을 갖춘 네트워크 관리자가 수행합니다. 컴퓨터 시스템의 사용자 작업에 대한 내역 감사 기록에 따라 침입 행위가 있는지 확인하고, 있는 경우 연결을 끊고 침입 증거를 기록하고 데이터 복구를 수행합니다. 침입 후 탐지는 관리자가 정기적으로 또는 비정기적으로 수행하며 실시간이 아닙니다.

(2) 온라인 검사 시스템: 온라인 검사 시스템은 실시간 네트워크 패킷 분석 및 실시간 호스트 감사 분석을 포함하는 실시간 온라인 검사 시스템입니다. 네트워크 연결 중 실시간 침입 감지가 수행됩니다. 시스템은 사용자의 과거 동작 모델, 컴퓨터에 저장된 전문 지식 및 신경망 모델을 기준으로 사용자의 현재 작업을 결정합니다. 침입의 징후가 발견되면 침입자는 즉시 호스트에서 연결을 끊고 증거를 수집하고 데이터 복구를 수행합니다. 이 검사 과정은 끊임없이 순환한다.