침입 탐지 기술에 기반한 침입 탐지 아키텍처

● 호스트 침입 탐지 (HIDS)

기능: 호스트 또는 서버 시스템에 대한 침입 탐지 및 응답.

주요 이점: 가격 대비 성능 더 정교합니다. 위양성율이 낮다. 암호화 및 스위칭 환경에 적합합니다. 네트워크 트래픽에 민감하지 않습니다. 공격이 성공했는지 확인합니다.

제한 사항: 1 호스트 고유의 로깅 및 모니터링 기능에 의존하며 호스트의 감사 정보에는 약점이 있습니다. 공격에 취약하며 침입자는 감사를 피하려고 할 수 있습니다.

② id 의 운영은 호스트의 성능에 어느 정도 영향을 미친다.

③HIDS 는 호스트의 특정 사용자 및 어플리케이션의 동작 및 로그만 감지할 수 있으며 감지할 수 있는 공격 유형은 제한되어 있습니다.

④ 에이즈의 완전한 배치는 비용이 많이 든다.

● NIDS (네트워크 침입 탐지)

에이즈 NIDS 프로젝트

괜히 놀라서 일정 수량이 줄었다.

누락은 기술 수준과 데이터 처리 능력과 관련이 있다.

시스템 배포 및 유지 관리는 네트워크 토폴로지와 무관하며 네트워크 토폴로지와 관련이 있습니다.

검사 규칙은 작고 크다.

피쳐 이벤트를 감지하는 피쳐 코드 분석 및 신호 분석

보안 정책 기본 보안 정책 (포인트 정책) 보안 정책 실행 (라인 정책)

보안 제한은 호스트의 모든 이벤트 전송에서 암호화되지 않은 정보와 분류되지 않은 정보에 도달합니다.

보안 위험 위반 사건의 공격 방법 또는 수단

특징: 혼합 모드에서 작동하는 네트워크 카드를 사용하여 네트워크 세그먼트 전체의 통신 업무를 실시간으로 모니터링합니다.

주요 장점: 은폐성이 좋다. 실시간 감지 및 응답 공격자는 증거를 옮기기 쉽지 않습니다. 비즈니스 시스템에 영향을 주지 않습니다. 실패한 공격 시도를 감지할 수 있다.

제한 사항: 1 네트워크 세그먼트에 직접 연결된 통신만 감지할 수 있고, 다른 네트워크 세그먼트의 네트워크 패킷은 감지할 수 없습니다.

② 스위치 이더넷 환경에서는 테스트 범위가 제한됩니다.

(3) 많은 계산 및 분석 시간이 필요한 복잡한 공격을 감지하기가 어렵습니다.

④ 암호화 된 세션 프로세스를 처리하기가 어렵습니다.

● 분산 침입 탐지 (DIDS)

일반적으로 데이터 수집, 데이터 분석 등과 같은 기능을 수행하기 위해 네트워크의 여러 부분에 걸쳐 함께 작동하는 여러 부품으로 구성됩니다. 데이터 수집, 분석 및 침입에 대한 응답은 센터의 제어 부품을 통해 수행됩니다.