컴퓨터 지식 네트워크 - 컴퓨터 프로그래밍 - 침입 감지는 무엇을 감지하나요?

침입 감지는 무엇을 감지하나요?

침입 감지는 침입 행위를 감지하는 것입니다. 네트워크 행위, 보안 로그, 감사 데이터, 기타 네트워크에서 이용 가능한 정보, 컴퓨터 시스템의 여러 주요 지점에 대한 정보를 수집하고 분석하여 네트워크나 시스템에 보안 정책 위반 여부와 공격 징후가 있는지 확인합니다. 침입탐지는 사전 예방적 보안 보호 기술로서 내부 공격, 외부 공격, 오작동 등에 대해 실시간으로 보호해 네트워크 시스템이 손상되기 전에 침입을 차단하고 대응하는 기술입니다. 따라서 네트워크 성능에 영향을 주지 않고 네트워크를 감시할 수 있는 방화벽 다음으로 두 번째 보안 게이트로 꼽힌다. 침입 탐지는 다음 작업을 수행하여 수행됩니다. 사용자 및 시스템 활동 모니터링, 시스템 구조 및 취약점 감사, 알려진 공격을 반영하는 활동 패턴 식별 및 관련 개인에게 경고, 중요한 시스템 및 데이터 파일 평가 무결성, 운영 체제 감사 추적 관리 및 사용자 보안 정책 위반 식별. 침입 탐지는 방화벽을 합리적으로 보완하여 시스템이 네트워크 공격을 처리하도록 돕고, 시스템 관리자의 보안 관리 기능(보안 감사, 모니터링, 공격 식별 및 대응 포함)을 확장하고, 정보 보안 인프라의 무결성을 향상시킵니다. 컴퓨터 네트워크 시스템의 여러 핵심 지점에서 정보를 수집하고 정보를 분석하여 네트워크에 보안 정책 위반 및 공격 징후가 있는지 확인합니다.

침입탐지 기술

침입탐지 기술은 컴퓨터 시스템의 보안을 보장하기 위해 설계 및 구성된 기술로, 시스템에서 승인되지 않은 현상이나 비정상적인 현상을 신속하게 발견하고 보고할 수 있는 기술입니다. 컴퓨터 네트워크의 보안 정책 위반을 탐지합니다. 침입탐지를 위한 소프트웨어와 하드웨어를 결합한 것이 침입탐지 시스템이다

침입탐지 기술 분류:

침입탐지 시스템에 사용되는 기술은 두 가지 유형으로 나눌 수 있다. 감지 및 이상 감지 종류.

1. 기능 탐지:

기능 탐지(시그니처 기반 탐지)는 오용 탐지라고도 합니다. 이 탐지는 침입자의 활동이 패턴으로 나타날 수 있다고 가정합니다. 시스템의 목표는 주체의 활동 여부를 탐지하는 것입니다. 이러한 패턴을 따르십시오. 기존 침입 방법을 탐지할 수 있지만 새로운 침입 방법에는 무력합니다. 어려운 점은 정상적인 활동을 포함하지 않고 "침입" 현상을 표현할 수 있는 패턴을 디자인하는 방법입니다.

2. 이상 탐지:

이상 탐지의 가정은 침입자의 활동이 정상 주체의 활동에 비해 비정상적이라는 것입니다. 이 개념을 바탕으로 피험자의 일반적인 활동에 대한 '활동 프로필'이 설정되고, 현재 피험자의 활동 상태를 '활동 프로필'과 비교하여 통계 규칙을 위반하면 해당 활동을 '침입'으로 간주합니다. 행동. 이상 탐지의 어려운 문제는 정상적인 작업을 "침입"으로 간주하거나 실제 "침입" 동작을 무시하지 않도록 "활동 프로필"을 설정하는 방법과 통계 알고리즘을 설계하는 방법입니다.

침입 탐지 시스템의 작동 단계

성공적인 침입 탐지 시스템을 위해서는 시스템 관리자가 네트워크 시스템(프로그램, 파일 및 하드웨어 장치 포함)을 항상 이해할 수 있을 뿐만 아니라 등)은 네트워크 보안 정책 수립에 대한 지침도 제공할 수 있습니다. 더 중요한 점은 관리 및 구성이 간편해야 전문가가 아닌 사람도 네트워크 보안을 매우 쉽게 얻을 수 있다는 것입니다. 또한 침입 탐지 규모도 네트워크 위협, 시스템 아키텍처 및 보안 요구 사항의 변화에 ​​따라 변경되어야 합니다. 침입 탐지 시스템은 침입을 발견한 후 네트워크 연결 차단, 이벤트 기록, 경보 등을 포함하여 즉각적으로 대응합니다.

정보 수집

침입 탐지의 첫 번째 단계는 시스템, 네트워크, 데이터 및 사용자 활동의 상태와 동작을 포함하는 정보 수집입니다. 또한, 컴퓨터 네트워크 시스템의 여러 주요 지점(다른 네트워크 세그먼트 및 다른 호스트)에서 정보를 수집해야 하며 탐지 범위를 최대한 확장하는 요소 외에도 또 다른 중요한 요소는 하나의 소스에서 정보를 수집해야 한다는 것입니다. 5월 의심스러운 것은 없지만 여러 출처에서 나온 정보의 불일치는 의심스러운 행동이나 침입을 나타내는 가장 좋은 지표입니다.

물론 침입 탐지는 수집된 정보의 신뢰성과 정확성에 크게 의존하므로 이러한 정보는 정품이고 정확하다고 알려진 소프트웨어만을 사용하여 보고해야 합니다. 해커는 종종 이 정보를 난독화하고 제거하기 위해 소프트웨어를 교체하기 때문입니다. 예를 들어 프로그램에서 호출하는 서브루틴, 라이브러리 및 기타 도구를 교체합니다. 해커가 시스템을 수정하면 시스템이 오작동할 수 있으며 실제로는 정상이 아닌 것처럼 보일 수 있습니다. 예를 들어 유닉스 시스템의 PS 명령을 침입 과정을 보여주지 않는 명령으로 대체하거나, 편집기를 지정된 파일과 다른 파일을 읽는 파일로 대체할 수 있다(해커는 예비 파일을 숨기고 다른 버전으로 대체합니다.) 이를 위해서는 네트워크 시스템을 탐지하는 데 사용되는 소프트웨어의 무결성을 보장해야 합니다. 특히 침입 탐지 시스템 소프트웨어 자체는 변조 및 잘못된 정보 수집을 방지할 수 있도록 상당히 견고해야 합니다.

1. 시스템 및 네트워크 로그 파일

해커는 시스템 로그 파일에 흔적을 남기는 경우가 많기 때문에 침입 탐지를 위해서는 시스템 및 네트워크 로그 파일 정보를 최대한 활용하는 것이 필수 조건입니다. .

로그에는 시스템과 네트워크에서 발생하는 비정상적이고 원치 않는 활동에 대한 증거가 포함되어 있습니다. 이는 누군가가 해킹을 진행 중이거나 시스템을 성공적으로 해킹했음을 나타낼 수 있습니다. 로그 파일을 검토하여 성공적인 침입이나 침입 시도를 발견하고 해당 비상 대응 절차를 신속하게 시작할 수 있습니다. 다양한 행동 유형이 로그 파일에 기록되며 각 유형에는 서로 다른 정보가 포함됩니다. 예를 들어 "사용자 활동" 유형을 기록하는 로그에는 로그인, 사용자 ID 변경, 파일에 대한 사용자 액세스, 권한 부여 및 인증 정보 등이 포함됩니다. 분명히 사용자 활동 측면에서 볼 때 비정상적이거나 예상치 못한 동작은 반복적인 로그인 실패, 예상치 못한 위치에 로그인, 중요한 파일에 대한 무단 액세스 시도 등입니다.

2. 디렉터리 및 파일의 예상치 못한 변경

네트워크 환경의 파일 시스템에는 많은 소프트웨어 및 데이터 파일이 포함되어 있으며, 중요한 정보와 개인 데이터 파일이 해커의 표적이 되는 경우가 많습니다. 대상을 수정하거나 파괴합니다. 디렉터리 및 파일, 특히 일반적으로 액세스가 제한된 파일의 예기치 않은 변경(수정, 생성 및 삭제 포함)은 침입의 징후일 수 있습니다. 해커는 액세스 권한이 있는 시스템의 파일을 교체, 수정 및 파괴하는 동시에 시스템에서 자신의 성능 및 활동에 대한 흔적을 숨기기 위해 시스템 프로그램을 교체하거나 시스템 로그 파일을 수정하려고 시도합니다.

3. 프로그램 실행 시 예기치 않은 동작

네트워크 시스템에서의 프로그램 실행에는 일반적으로 운영 체제, 네트워크 서비스, 사용자 시작 프로그램 및 데이터베이스 서버와 같은 특수 목적 응용 프로그램이 포함됩니다. 시스템에서 실행되는 각 프로그램은 하나 이상의 프로세스로 구현됩니다. 각 프로세스는 프로세스가 액세스할 수 있는 시스템 리소스, 프로그램 및 데이터 파일을 제어하는 ​​다양한 권한을 가진 환경에서 실행됩니다. 프로세스의 실행 동작은 프로세스가 실행 중일 때 수행하는 작업으로 표현되며 작업이 수행되는 방식도 다르며 사용하는 시스템 리소스도 다릅니다. 작업에는 계산, 파일 전송, 장치 및 기타 프로세스, 네트워크의 다른 프로세스와의 통신이 포함됩니다.

프로세스의 예기치 않은 동작은 해커가 시스템에 침입하고 있음을 나타낼 수 있습니다. 해커는 프로그램이나 서비스의 작동을 중단시켜 사용자나 관리자가 의도하지 않은 방식으로 오류를 일으키거나 작동하도록 할 수 있습니다.

4. 침입 정보의 물리적 형태

여기에는 두 가지 측면이 포함됩니다. 하나는 네트워크 하드웨어에 대한 무단 연결이고, 다른 하나는 물리적 리소스에 대한 무단 액세스입니다. 해커는 네트워크의 경계 방어에 침투할 방법을 찾고, 인트라넷에 물리적으로 접근할 수 있는 경우 자체 장비와 소프트웨어를 설치할 수 있습니다. 이를 통해 해커는 인터넷에서 사용자가 추가한 안전하지 않은(인증되지 않은) 장치를 알 수 있으며, 이러한 장치를 사용하여 네트워크에 액세스할 수 있습니다. 예를 들어, 사용자는 원격 사무실에 액세스하기 위해 집에 모뎀을 설치할 수 있습니다. 동시에 해커는 공중 전화선에서 모뎀을 식별하기 위해 자동화된 도구를 사용합니다. 전화 접속 액세스 트래픽이 손상되어 네트워크 보안을 위협하는 백도어가 됩니다. 해커는 이 백도어를 사용하여 내부 네트워크에 접근함으로써 내부 네트워크의 원래 보호 조치를 우회하고 네트워크 트래픽을 캡처한 다음 다른 시스템을 공격하고 민감한 개인 정보를 훔치는 등의 작업을 수행합니다.

신호 분석

시스템, 네트워크, 데이터 및 사용자 활동의 상태와 동작에 대해 수집된 위 네 가지 유형의 정보는 일반적으로 패턴 매칭, 통계 분석의 세 가지 기술적 수단을 통해 분석됩니다. 그리고 완전성 분석. 처음 두 가지 방법은 실시간 침입 탐지에 사용되는 반면 무결성 분석은 이벤트 후 분석에 사용됩니다.

1. 패턴 매칭

패턴 매칭은 수집된 정보를 알려진 네트워크 침입 및 시스템 오용 패턴 데이터베이스와 비교하여 보안 정책 위반을 발견하는 것입니다. 프로세스는 단순할 수도 있고(예: 간단한 항목이나 명령을 찾기 위한 문자열 일치) 복잡할 수도 있습니다(예: 보안 상태의 변화를 나타내기 위해 공식적인 수학 표현식을 사용함). 일반적으로 공격 모드는 프로세스(예: 명령 실행) 또는 출력(예: 권한 획득)으로 표현될 수 있습니다. 이 방법의 가장 큰 장점은 관련 데이터 세트만 수집하면 되기 때문에 시스템 부담이 크게 줄어들고 기술이 상당히 성숙하다는 것입니다. 바이러스 방화벽과 동일한 방법을 사용하며 탐지 정확도와 효율성이 상당히 높습니다. 하지만 이 방식의 약점은 새롭게 등장하는 해커 공격 방식에 대응하기 위해서는 지속적인 업그레이드가 필요하고, 이전에 등장한 적이 없는 해커 공격 방식을 탐지할 수 없다는 점이다.

2. 통계 분석

통계 분석 방법은 먼저 시스템 개체(예: 사용자, 파일, 디렉터리, 장치 등)에 대한 통계 설명을 생성하고 일부 측정 속성을 계산합니다. 정상적인 사용 중(예: 액세스 횟수, 실패한 작업 및 지연 횟수 등) 측정된 속성의 평균값은 네트워크 및 시스템의 동작과 비교하는 데 사용됩니다. 관찰된 값이 정상 범위를 벗어나면 침입이 발생한 것으로 간주됩니다. 예를 들어, 통계 분석에서는 오후 8시부터 오전 6시 사이에 로그인하지 않는 계정이 오전 2시에 로그인을 시도한다는 사실을 발견하므로 비정상적인 동작을 식별할 수 있습니다. 장점은 알려지지 않은 침입과 더 복잡한 침입을 탐지할 수 있다는 점입니다. 단점은 오탐지율과 오탐지율이 높고 사용자의 정상적인 행동의 급격한 변화에 적응하지 못한다는 것입니다. 전문가 시스템 기반, 모델 추론 기반, 신경망 기반 분석 방법 등 구체적인 통계 분석 방법은 현재 뜨거운 연구와 빠른 개발 단계에 있습니다.

3. 무결성 분석

무결성 분석은 주로 파일이나 개체의 변경 여부에 중점을 두고 있으며, 여기에는 파일 및 디렉터리의 내용과 속성이 포함되는 경우가 많으며, 특히 애플리케이션에 효과적입니다. 특화된 것입니다. 무결성 분석은 작은 변경 사항도 식별할 수 있는 메시지 다이제스트 기능(예: MD5)이라는 강력한 암호화 메커니즘을 활용합니다. 패턴 매칭 방법과 통계 분석 방법으로 침입을 탐지할 수 있는지 여부에 관계없이 공격에 성공하면 파일이나 다른 객체에 변화가 생기면 찾아낼 수 있다는 장점이 있다. 단점은 일반적으로 일괄 처리로 구현되며 실시간 응답에는 사용되지 않는다는 점입니다. 그럼에도 불구하고 무결성 탐지 방법은 여전히 ​​네트워크 보안 제품에 필요한 수단 중 하나입니다. 예를 들어, 매일 특정 시간에 무결성 분석 모듈을 켜서 네트워크 시스템에 대한 포괄적인 검사 및 검사를 수행할 수 있습니다.

침입탐지시스템의 대표적인 대표자

침입탐지시스템의 대표적인 대표자는 ISS(International Internet Security Systems Company)사의 RealSecure이다. 컴퓨터 네트워크 상의 자동 실시간 침입탐지 및 대응 시스템입니다. 네트워크 트래픽을 방해받지 않고 모니터링하고, 의심스러운 행위를 자동으로 탐지 및 대응하고, 시스템이 침해되기 전에 보안 취약점 및 내부 오용을 차단 및 대응함으로써 기업 네트워크의 보안을 극대화합니다.

침입 감지 기능

·사용자 및 시스템 활동 모니터링 및 분석

·시스템 구성 및 취약점 점검

·중요 시스템 및 시스템 점검 데이터 파일 무결성

·알려진 공격을 대표하는 활동 패턴 식별

·비정상적인 행동 패턴에 대한 통계 분석

·운영 체제 보정 보안을 훼손하는 사용자 활동이 있는지 확인합니다.

·침입 탐지 시스템 및 취약성 평가 도구의 장점은 다음과 같습니다.

·정보 보안 시스템의 다른 부분의 무결성 개선

·시스템 모니터링 개선 기능

·입력부터 종료까지 사용자의 모든 활동 또는 영향을 추적

·데이터 파일의 변경 사항 식별 및 보고

·필요한 경우 시스템 구성 오류 검색 필요 시 수정

·특정 유형의 공격을 식별하고 적절한 담당자에게 경고하여 방어 대응을 하도록 합니다.

·시스템 관리자가 프로그램에 최신 버전 업그레이드를 추가할 수 있도록 합니다.

p>

·시스템 보안 업무에 비전문가의 참여 허용

·정보 보안 정책 수립에 대한 지침 제공

·침입 탐지 시스템에 대한 이해 부족 및 취약점 평가 도구를 수정해야 함 현실적인 기대: 이러한 제품은 전능하지 않으며 취약한 식별 및 확인 메커니즘을 보완할 수 없음

·사람의 개입 없이는 공격 검사를 수행할 수 없음

·회사의 보안정책 내용을 인지하지 못함

·네트워크 프로토콜 허점을 보완하지 못함

·회사에서 제공하는 정보의 품질이나 무결성으로 인해 문제를 보완하지 못함

시스템

·네트워크가 혼잡할 때 모든 트랜잭션을 분석할 수는 없습니다.

·패킷 수준의 공격을 항상 처리할 수는 없습니다.

·하드웨어 및 침입탐지는 현대 네트워크의 특징

p>

침입탐지는 선제적인 보안 보호 기술로서 내부 공격, 외부 공격 및 오작동에 대해 실시간으로 보호하고, 네트워크 시스템이 공격을 받기 전에 침입을 차단하고 대응하는 기술입니다. 피해를 입었습니다. 네트워크 보안의 3차원 깊이와 다단계 방어의 관점에서 볼 때 침입 탐지는 사람들에게 높은 평가를 받을 가치가 있습니다. 이는 해외 침입 탐지 제품 시장의 급속한 발전에서 볼 수 있습니다. 중국에서는 점점 더 많은 핵심 부서와 핵심 기업이 인터넷에 접속함에 따라 독립적인 저작권을 갖춘 침입탐지 제품에 대한 필요성이 절실해지고 있습니다. 그러나 현재 상황은 침입 탐지가 연구 및 실험 샘플 단계(업그레이드 및 서비스 부족)에만 머무르거나 비교적 기초적인 침입 탐지 모듈이 방화벽에 통합되어 있는 것입니다.

침입탐지 제품은 아직 개발 여지가 많다고 볼 수 있습니다. 기술적인 관점에서 볼 때, 기존 및 전통적 기술(패턴 인식 및 무결성 탐지)을 개선하는 것 외에도 관련 기술에 대한 연구 강화에 중점을 두어야 한다고 생각합니다. 통계분석

上篇: 회사 재무부 업무 요약 ppt 下篇: 안녕하세요, 제 HP 노트북 부팅 카드가 첫 번째 인터페이스에 있습니다. Esc, F8, f 10 을 눌러도 소용이 없다. 아무 키나 눌러 경보를 울립니다. 무슨 일이야, ne?
관련 내용