침입 탐지 시스템의 분류는 무엇입니까?
채택된 기술에 따라 이상 탐지와 피쳐 탐지로 나눌 수 있습니다. \xd\\xd\(1) 예외 감지: 예외 감지 가정은 침입자 활동이 정상 주체의 활동보다 비정상적이고 정상 활동의' 활동 프로필' 을 설정하며 현재 주체의 활동이 통계 규칙을 위반할 때' 침입' 행위로 간주된다고 가정합니다. 시스템의 동작 또는 사용 변경을 감지하여 \xd\\xd\(2) 피쳐 감지 수행: 피쳐 탐지는 침입자 활동을 패턴으로 표시할 수 있다고 가정하고 관찰 객체를 비교하여 이러한 패턴과 일치하는지 여부를 판별합니다. \xd\\xd\(3) 프로토콜 분석: 네트워크 프로토콜의 고도로 규칙적인 빠른 탐지 공격의 존재를 활용합니다. \xd\\xd\ 모니터링 대상이 호스트인지 네트워크인지에 따라 호스트 기반 침입 탐지 시스템과 네트워크 기반 침입 탐지 시스템으로 구분됩니다. \xd\\xd\(1) 호스트 기반 침입 탐지 시스템: 호스트의 감사 레코드를 모니터링하고 분석하여 침입을 탐지합니다. 적시에 감사를 수집할 수 있는지 여부는 침입자가 침입 감지 시스템을 피하기 위해 호스트 감사 하위 시스템을 공격 대상으로 사용하는 이러한 시스템의 약점 중 하나입니다. \xd\\xd\(2) 네트워크 기반 침입 탐지 시스템: 네트워크 기반 침입 탐지 시스템은 * * * 네트워크 세그먼트의 통신 데이터 수신을 통해 데이터를 수집하여 의심스러운 현상을 분석합니다. 이러한 시스템은 호스트가 엄격한 감사를 제공할 필요가 없고, 호스트 자원 소모가 적으며, 이기종 호스트의 다양한 아키텍처에 관계없이 네트워크에 공통된 보호 기능을 제공합니다. \xd\\xd\(3) 분산 침입 탐지 시스템: 현재 이 기술은 ISS 의 RealSecure 와 같은 제품에 이미 적용되었습니다. 또한 네트워크의 패킷에서 검색되는 데이터도 분산 감지, 중앙 집중식 관리 방식을 사용한다는 점이 다릅니다. 즉, 네트워크 세그먼트마다 블랙박스를 설치하는 것입니다. 이 블랙박스는 네트워크 기반 침입 감지 시스템에 해당하지만 사용자 조작 인터페이스가 없습니다. 블랙박스는 해당 네트워크 세그먼트의 데이터 흐름을 모니터링하는 데 사용되며 중앙 보안 관리 센터에서 설정한 보안 정책, 응답 규칙 등을 기준으로 네트워크 데이터를 분석하고 중앙 보안 관리 센터에 보안 이벤트 정보를 전송합니다. 중앙 집중식 보안 관리 센터는 전체 분산 침입 탐지 시스템의 사용자 지향 인터페이스입니다. 데이터 보호 범위는 넓지만 네트워크 트래픽에는 어느 정도 영향을 미치는 것이 특징입니다. \xd\\xd\ 작동 방식에 따라 오프라인 감지 시스템과 온라인 감지 시스템으로 나뉩니다. \xd\\xd\(1) 오프라인 감지 시스템: 오프라인 감지 시스템은 사후 감사 이벤트를 분석하고 침입 활동을 확인하는 비실시간 시스템입니다. 사후 침입 탐지는 네트워크 관리자가 수행하며, 네트워크 보안 전문 지식을 갖추고 있으며, 컴퓨터 시스템의 사용자 작업에 대한 기록 감사 기록에 따라 침입 행위가 있는지 여부를 판단하고, 있을 경우 연결을 끊고, 침입 증거를 기록하고, 데이터 복구를 수행합니다. 사후 침입 탐지는 관리자가 정기적으로 또는 비정기적으로 수행하며 실시간이 아닙니다. \xd\\xd\(2) 온라인 테스트 시스템: 온라인 테스트 시스템은 실시간 네트워크 패킷 분석, 실시간 호스트 감사 분석을 포함하는 실시간 온라인 테스트 시스템입니다. 실시간 침입 탐지는 네트워크 연결 과정에서 이루어지며, 시스템은 사용자의 과거 동작 모델, 컴퓨터에 저장된 전문 지식 및 신경망 모델에 따라 사용자의 현재 작업을 판단합니다. 침입 징후가 발견되면 침입자와 호스트의 연결을 즉시 끊고 증거를 수집하고 데이터 복구를 구현합니다. 이 검사 과정은 끊임없이 순환하는 것이다.
관련 내용