침입탐지 분류

침입탐지시스템에 사용되는 기술은 특징탐지와 이상탐지 두 가지로 나눌 수 있다. (경고)

침입이 발생하거나 발생하려고 시도하면 IDS 시스템은 경고 메시지를 발행하여 시스템 관리자에게 알립니다. 콘솔과 IDS 시스템이 동일한 시스템에 있는 경우 경고 메시지가 모니터에 표시되고 사운드 프롬프트가 동반될 수도 있습니다. 원격 콘솔인 경우 경고는 IDS 시스템에 내장된 방법(보통 암호화됨), SNMP(Simple Network Management Protocol, 일반적으로 암호화되지 않음), 이메일, SMS(단문 메시지), 또는 위의 방법을 혼합한 방법입니다. (예외)

대부분의 IDS는 이벤트가 알려진 공격의 신호와 일치할 때 경고합니다. 이상 현상을 기반으로 하는 IDS는 해당 시점의 활성 호스트 또는 네트워크에 대한 대략적인 개요를 구성합니다. 이 개요를 벗어나는 이벤트가 발생하면 IDS는 예를 들어 누군가가 이전에 수행하지 않은 작업을 수행하는 경우 경고합니다. , 사용자가 갑자기 관리자 또는 루트 권한을 얻습니다. 일부 IDS 벤더는 이 방법을 휴리스틱 기능으로 간주하지만 휴리스틱 IDS는 추론과 판단에 있어 더 많은 지능을 가져야 합니다. (IDS 하드웨어)

기존 시스템에 설치해야 하는 IDS 소프트웨어 외에도 시중에서 판매되는 일부 IDS 하드웨어를 구입할 수도 있습니다. 이들을 연결하기만 하면 됩니다. 네트워크 응용 프로그램에. 사용 가능한 일부 IDS 하드웨어에는 CaptIO, Cisco Secure IDS, OpenSnort, Dragon 및 SecureNetPro가 포함됩니다. ArachNIDS는 Max Visi가 개발한 공격 시그니처 데이터베이스로, 동적으로 업데이트되며 다양한 네트워크 기반 침입 탐지 시스템에 적합합니다.

ARIS: Attack Registry & Intelligence Service (공격 이벤트 등록 및 인텔리전스 서비스)

ARIS는 SecurityFocus에서 제공하는 추가 서비스로, 사용자가 익명으로 인터넷에 연결할 수 있도록 해줍니다. 네트워크 보안을 보고합니다. SecurityFocus에 사고가 발생하면 SecurityFocus는 이러한 데이터를 다른 많은 참가자의 데이터와 결합하여 궁극적으로 상세한 네트워크 보안 통계 분석 및 추세 예측을 형성하여 인터넷에 게시됩니다. URL 주소는 다음과 같습니다. (공격)

공격은 정보를 탈취하고, 정보를 수정하고, 대상 네트워크나 시스템 기능을 파괴하기 위해 시스템에 침투하거나 시스템의 보안 정책을 우회하려는 시도로 이해될 수 있습니다. 다음은 IDS가 탐지할 수 있는 가장 일반적인 인터넷 공격 유형의 목록입니다.

공격 유형 1-DOS(서비스 거부 공격, 서비스 거부 공격): DOS 공격은 인터넷 보안을 파괴하지 않습니다. 해킹을 통해 시스템을 마비시키고 사용자에게 서비스를 제공하지 못하게 하는 행위입니다. 종류에는 버퍼 오버플로우, 플러딩으로 인한 시스템 자원 고갈 등이 있습니다.

공격 유형 2 - DDOS(Distributed Denial of Service Attack): 표준 DOS 공격은 하나의 호스트에서 대량의 데이터를 사용하여 원격 호스트에 공격을 실행하지만 전송할 수는 없습니다. 원하는 결과를 얻기 위해 패키지가 사용되므로 DDOS가 생성됩니다. 즉, 하나의 대상에 분산된 여러 호스트에서 공격을 시작하여 원격 시스템의 리소스를 소모하거나 연결을 무효화합니다.

공격 유형 3 - 스머프(Smurf): 공격자가 대상의 위장된 소스 주소를 사용하여 스머프 증폭기 브로드캐스트 주소를 핑하면 모든 활성 호스트가 응답을 보내는 오래된 공격입니다. 대상에 연결되어 네트워크 연결이 중단됩니다.

공격 유형 4 - 트로이 목마(Trojans): 트로이 목마라는 용어는 고대 그리스인들이 트로이 목마를 공격할 때 사용했던 트로이 목마에서 유래했다. 군인들이 쏟아져 나오며 트로이 목마가 도시와 주민들을 공격합니다. 컴퓨터 용어로 말하면 원래는 합법적인 프로그램처럼 보이지만 실제로는 악성 코드가 포함된 소프트웨어를 의미합니다. 이렇게 하면 사용자가 합법적인 프로그램을 실행하면 사용자도 모르게 악성코드가 설치됩니다. 그러나 이 형식으로 설치된 대부분의 악성 프로그램은 원격 제어 도구이기 때문에 트로이 목마라는 용어는 빠르게 발전하여 BackOrifice, SubSeven, NetBus 등과 같은 도구를 구체적으로 지칭했습니다. (자동 대응)

공격에 대한 경고를 보내는 것 외에도 일부 IDS는 이러한 공격을 자동으로 방어할 수도 있습니다. 저항하는 방법에는 여러 가지가 있습니다. 첫째, 동일한 주소에서 정보 흐름을 거부하도록 라우터와 방화벽을 재구성할 수 있습니다. 둘째, 네트워크에서 재설정 패킷을 보내 연결을 끊습니다. 그러나 두 방법 모두 문제가 있습니다. 공격자는 친숙한 주소로 가장하여 재구성된 장치를 악용하여 공격을 시작할 수 있으며, 그러면 IDS는 이러한 주소를 거부하도록 라우터와 방화벽을 구성하므로 실제로는 "자기 국민"에 대한 봉사를 거부하는 것입니다. 재설정 패킷을 보내는 방법에는 활성 네트워크 인터페이스가 필요하므로 공격에 노출됩니다. 해결 방법은 방화벽 내부에 활성 네트워크 인터페이스를 두거나 표준 IP 스택의 요구 사항을 우회하는 특수 패킷 전송 프로그램을 사용하는 것입니다. (컴퓨터 비상 대응팀, 컴퓨터 비상 대응팀)

이 용어는 컴퓨터 보안 사고에 대응하기 위해 처음으로 카네기 멜론 대학교에 설립된 컴퓨터 비상 대응팀이 선택한 용어입니다. CNCERT/CC(중국 컴퓨터 네트워크 비상 대응 조정 센터)와 같은 많은 조직에는 CERT가 있습니다. 긴급이라는 단어가 다소 불분명하기 때문에 많은 조직에서는 이 단어를 Incident라는 단어로 대체하여 컴퓨터 사고 대응팀인 CIRT(컴퓨터 사고 대응팀)라는 새로운 용어를 사용하게 되었습니다. 응답이라는 단어는 때때로 처리로 대체되는데, 이는 응답이 장기적인 연구보다는 긴급 조치를 나타냄을 의미합니다. (공통 침입 탐지 프레임워크, 공통 침입 탐지 프레임워크)

CIDF는 침입 탐지 연구 프로젝트가 서로 통신할 수 있도록 침입 탐지를 어느 정도 표준화하고 일부 프로토콜 및 응용 프로그램 인터페이스를 개발하기 위해 노력하고 있습니다. * 정보를 공유합니다. 리소스 및 침입 탐지 구성 요소는 다른 시스템에서 재사용될 수 있습니다. (컴퓨터 사고 대응팀, 컴퓨터 사고 대응팀)

CIRT는 CERT에서 발전한 것으로, 보안 사고에 대한 철학적 이해의 변화를 나타냅니다. CERT는 원래 특정 컴퓨터 긴급 상황을 위해 설계되었으며 CIRT의 사건이라는 용어는 모든 사건이 반드시 긴급 상황인 것은 아니며 모든 긴급 상황이 사건으로 간주될 수 있음을 나타냅니다. (공통 침입 사양 언어, 공통 침입 사양 언어)

CISL은 CIDF 구성 요소가 서로 통신하기 위해 사용하는 언어입니다. CIDF는 프로토콜과 인터페이스를 표준화하려는 시도이므로 CISL은 침입 탐지 연구를 위한 언어를 표준화하려는 시도입니다.

(공통 취약점 및 노출, 공통 취약점 공개)

취약성에 대한 오래된 문제는 스캐너 또는 대응 전략을 설계할 때 공급업체마다 취약점에 대해 완전히 다른 이름을 사용한다는 것입니다. 또한 일부 제조업체는 취약점의 여러 특성을 정의하고 이를 IDS 시스템에 적용하여 사람들에게 자사 제품이 더 효과적이라는 환상을 심어줍니다. MITRE는 취약점 이름을 표준화하기 위해 CVE를 만들었고, 참여 벤더들은 자연스럽게 이 표준에 따라 IDS 제품을 개발했습니다. (맞춤형 데이터 패킷)

맞춤형 데이터 패킷을 생성하면 일반적으로 규정되는 일부 데이터 패킷 구조를 피할 수 있으므로 패킷 스푸핑이 생성되거나 이를 수신하는 컴퓨터가 처리 방법을 인식하지 못하게 됩니다. (동기화 실패)

동기화 해제라는 용어는 원래 시퀀스 번호를 사용하여 IDS를 회피하는 방법을 의미합니다. 일부 IDS는 예상하는 시퀀스 번호에 대해 혼동을 일으켜 데이터를 재구성하지 못할 수 있습니다. 이 기술은 1998년에 널리 사용되었지만 더 이상 사용되지 않으며 일부 기사에서는 비동기화라는 용어를 사용하여 다른 IDS 회피 방법을 나타냅니다. (열거)

수동적인 조사와 사회 공학 작업 후에 공격자는 네트워크 리소스를 열거하기 시작합니다. 열거는 공격자가 네트워크를 적극적으로 조사하여 그 안에 무엇이 있는지, 무엇이 악용될 수 있는지 알아내는 것입니다. 그 행위가 더 이상 수동적이지 않기 때문에 이를 탐지하는 것이 가능해집니다. 물론 탐지를 피하기 위해 가능한 한 조용히 수행합니다. (회피)

회피란 IDS에 의해 성공적으로 탐지되지 않은 채 공격을 시작하는 것을 의미합니다. 비결은 IDS가 한 측면만 볼 수 있도록 하고 실제로 다른 목표를 공격하는 것입니다. 소위 판자 도로가 공개적으로 건설되고 Chencang이 비밀리에 교차됩니다. 회피의 한 가지 형태는 서로 다른 정보 패킷에 대해 서로 다른 TTL(유효 시간) 값을 설정하는 것입니다. 이런 식으로 IDS를 통과하는 정보는 무해한 것으로 나타나며 무해한 정보 비트의 TTL은 IDS보다 높습니다. 대상 호스트에 도달하는 데 걸리는 시간입니다. 필요한 TTL은 짧아야 합니다. IDS를 지나 표적에 가까워지면 무해한 부분은 버리고 유해한 부분만 남습니다. (악용)

모든 취약점에는 이를 악용하는 메커니즘이 있습니다. 공격자는 시스템을 공격하기 위해 익스플로잇 코드나 스크립트를 작성합니다.

각 취약점마다 이를 이용해 공격을 수행하는 방법이 있습니다. 시스템을 공격하기 위해 해커는 취약점을 악용하는 프로그램을 작성합니다.

Vulnerability Exploit : 제로데이 익스플로잇(Zero Day Exploit)

제로데이 익스플로잇(Zero Day Exploit)은 아직까지 이해되지 않고 널리 퍼져 있는 취약점 익스플로잇을 말한다. 이 유형의 익스플로잇은 아직 발견되지 않았습니다. 네트워크 보안 커뮤니티에서 취약점 익스플로잇이 발견되면 이에 대한 패치가 곧 나타나며, 그 특징적인 식별 정보가 IDS에 기록되어 취약점 익스플로잇을 무효화하고 효과적으로 캡처합니다. (거짓음성)

거짓음성은 공격 이벤트가 IDS에 의해 감지되지 않거나 분석가가 무해하다고 간주하는 것을 의미합니다.

오탐지

오탐지는 실제로는 무해하지만 IDS에 의해 공격 이벤트로 감지되는 이벤트를 의미합니다.

방화벽

방화벽은 네트워크 보안의 첫 번째 수준이지만 IDS는 아니지만 방화벽 로그는 IDS에 귀중한 정보를 제공할 수 있습니다. 방화벽의 작동 원리는 소스 주소, 포트 등과 같은 규칙이나 표준을 기반으로 위험한 연결을 차단하는 것입니다. (사고 대응 및 보안 팀 포럼, 사고 대응 및 보안 팀 포럼)

FIRST는 정보를 교환하고 대응 조치를 조정하기 위한 국제 정부 및 민간 조직의 연합입니다. 주목.

(조각화)

패킷이 너무 커서 로드할 수 없으면 조각으로 나누어야 합니다. 조각화의 기본은 네트워크의 MTU(최대 전송 단위)입니다. 예를 들어 토큰 링의 MTU는 4464이고 이더넷의 MTU는 1500입니다. 따라서 토큰 링에서 이더넷으로 패킷을 전송하려면 패킷을 작은 조각으로 분할한 다음 다시 구성해야 합니다. 목적지. 이 처리로 인해 효율성이 떨어지기는 하지만 샤딩 효과는 여전히 매우 좋습니다. 해커들은 조각화를 IDS를 피하는 방법으로 보고 일부 DOS 공격도 조각화 기술을 사용합니다. (영감)

휴리스틱(Heuristics)이란 침입탐지에서 AI(인공지능, 인공지능) 아이디어를 활용하는 것을 말한다. 실제로 휴리스틱을 사용하는 IDS는 약 10년 동안 존재했지만 아직 공격자가 악성 트래픽을 무시하도록 훈련시킬 수 있을 만큼 "스마트"하지는 않습니다. 일부 IDS는 침입을 탐지하기 위해 비정상적인 패턴을 사용합니다. 이러한 IDS는 정상적인 이벤트가 무엇인지 지속적으로 학습해야 합니다. 일부 제조업체는 이것이 이미 상당히 "스마트"한 IDS라고 생각하여 경험적 IDS로 간주합니다. 하지만 실제로 입력 데이터를 분석하기 위해 AI 기술을 실제로 적용하는 IDS는 아직까지 극소수입니다. (허니넷 프로젝트)

허니넷은 학습 도구이자 보안 결함이 있는 네트워크 시스템입니다. 손상되면 침입 정보를 캡처하고 분석하여 해커에 대해 알아냅니다. 허니넷은 해커 집단이 사용하는 도구, 전략, 동기를 이해하고 지식을 공유하는 데 전념하는 보안 전문 조직의 구성원 30명 이상으로 구성된 프로젝트입니다. 그들은 일련의 허니팟을 구축하여 취약해 보이는 허니넷 네트워크를 제공하고, 이러한 시스템에 침투한 해커를 관찰하고, 해커의 전술, 동기 및 행동을 연구했습니다. (허니팟)

허니팟은 취약점을 포함하고 하나 이상의 취약한 호스트를 시뮬레이션하여 해커에게 쉬운 표적을 제공하는 시스템입니다. 허니팟에는 완료해야 할 다른 작업이 없으므로 모든 연결 시도는 의심스러운 것으로 간주되어야 합니다. 허니팟의 또 다른 용도는 실제 대상에 대한 공격자의 공격을 지연시켜 공격자가 허니팟에서 시간을 낭비할 수 있도록 하는 것입니다. 동시에 공격의 원래 대상은 보호되고 실제로 귀중한 콘텐츠는 그대로 유지됩니다.

허니팟의 본래 목적 중 하나는 악의적인 해커를 기소하기 위한 증거 수집이었는데, 이는 '함정'이라는 느낌을 주는 것으로 보인다. 그러나 일부 국가에서는 해커를 기소하기 위한 증거 수집에 허니팟을 사용할 수 없습니다. (IDS 분류)

아래 나열된 다양한 유형의 IDS가 있습니다.

IDS 분류 1-응용 프로그램 IDS(응용 프로그램 IDS): 응용 프로그램 IDS는 일부 특수 응용 프로그램용입니다. 프로그램이 침입을 감지합니다. 신호이며 이러한 애플리케이션은 일반적으로 웹 서버, 데이터베이스 등과 같이 공격에 더 취약한 애플리케이션을 나타냅니다. 원래 운영 체제에 초점을 맞춘 호스트 기반 IDS가 기본적으로 애플리케이션을 대상으로 하지는 않지만 교육을 받아 애플리케이션에 적용할 수도 있습니다. 예를 들어, KSE(호스트 기반 IDS)는 이벤트 로그 보고서의 응용 프로그램에 대한 출력을 포함하여 이벤트 로그에서 진행되는 모든 것을 알려줄 수 있습니다. IDS 애플리케이션의 예로는 Entercept의 Web Server Edition이 있습니다.

IDS 카테고리 2 - 콘솔 IDS(콘솔 IDS): IDS를 공동 작업 환경에 적합하게 만들기 위해 분산된 IDS 에이전트는 중앙 콘솔에 정보를 보고해야 합니다. 많은 중앙 콘솔은 다른 제조업체의 IDS, 방화벽, 라우터 등과 같은 다른 소스로부터 데이터를 수신할 수도 있습니다. 이 정보를 종합하면 공격에 대한 보다 완전한 그림을 얻을 수 있습니다.

일부 콘솔은 에이전트 수준 콘솔에 자체 공격 서명을 추가하고 원격 관리 기능도 제공합니다. 이러한 IDS 제품에는 Intellitactics Network Security Monitor 및 Open Esecurity Platform이 포함됩니다.

IDS 카테고리 3 - 파일 무결성 검사기: 시스템이 공격자로부터 위협을 받을 때 지속적인 액세스 및 방지 감지 기능을 제공하기 위해 특정 키 파일을 변경하는 경우가 많습니다. 중요한 파일에 정보 다이제스트(암호화된 해시)를 추가하면 파일이 변경되었는지 정기적으로 확인하여 일정 수준의 보증을 제공할 수 있습니다. 이러한 변경 사항이 감지되면 무결성 검사기가 경고를 발행합니다. 또한 시스템이 공격을 받은 경우 시스템 관리자는 동일한 방법을 사용하여 시스템 손상 정도를 확인할 수도 있습니다. 기존의 파일 검사기는 사건이 발생한 지 오랜 시간이 지나도 침입을 탐지할 수 있었는데, 이는 '사후 파악'이었다. 최근 등장한 많은 제품들은 파일에 접근하는 동시에 파일을 확인할 수 있어 실시간 IDS 제품이라고 볼 수 있다. 이 카테고리의 제품에는 Tripwire 및 Intact가 포함됩니다.

IDS 카테고리 4-허니팟: 허니팟은 이전에도 소개되었습니다. 허니팟의 예로는 Mantrap과 Sting이 있습니다.

IDS 카테고리 5 - 호스트 기반 IDS(호스트 기반 IDS): 이 유형의 IDS는 의심스러운 활동을 탐지하기 위해 여러 소스의 시스템 및 이벤트 로그를 모니터링합니다. 호스트 IDS라고도 하는 호스트 기반 IDS는 신뢰할 수 있는 내부자의 오용과 기존 탐지 방법을 피하는 방식으로 네트워크에 침투한 활동을 탐지하는 데 가장 적합합니다. 이벤트 로그 판독기와 유사한 기능을 완료하는 것 외에도 Host IDS는 "이벤트/로그/시간"에 대한 서명 분석도 수행합니다. 휴리스틱 기능도 많은 제품에 포함되어 있습니다. Host IDS는 거의 실시간으로 작동하기 때문에 시스템 오류를 신속하게 감지할 수 있으며 기술자와 보안 전문가 모두가 좋아합니다. 호스트 기반 IDS는 서버/워크스테이션 호스트 기반의 모든 유형의 침입 탐지 시스템을 말합니다. 이 카테고리의 제품에는 Kane Secure Enterprise 및 Dragon Squire가 포함됩니다.

IDS 카테고리 6-하이브리드 IDS(Hybrid IDS): 현대 스위치 네트워크의 구조는 침입 탐지 작업에 몇 가지 문제를 가져옵니다. 첫째, 교환 네트워크는 기본적으로 네트워크 카드가 무차별 모드에서 작동하는 것을 허용하지 않으므로 기존 네트워크 IDS를 설치하기가 매우 어렵습니다. 둘째, 네트워크 속도가 빠르다는 것은 NIDS가 많은 패킷을 삭제한다는 것을 의미합니다. 하이브리드 IDS는 이러한 문제를 해결하기 위한 솔루션으로 IDS를 한 단계 더 끌어올려 네트워크 노드 IDS와 호스트 IDS를 결합한 것입니다. 이 솔루션은 적용 범위가 넓지만 이로 인해 발생하는 막대한 데이터 볼륨과 비용도 고려해야 합니다. 많은 네트워크에서는 매우 중요한 서버에 대해서만 하이브리드 IDS를 예약합니다. 일부 제조업체에서는 둘 이상의 작업을 완료하는 IDS를 하이브리드 IDS라고 부릅니다. 사실 이는 단지 광고 효과를 위한 것입니다. Hybrid IDS 제품에는 CentraxICE 및 RealSecure Server Sensor가 포함됩니다.

IDS 카테고리 7 - 네트워크 IDS(NIDS, Network IDS): NIDS는 모니터링 에이전트를 통해 흐르는 모든 네트워크 트래픽을 모니터링하고 의심되는 비정상적인 활동과 공격 특성을 포함하는 활동에 대응합니다. NIDS는 원래 IDS 필터를 갖춘 하이브리드 패킷 스니퍼이지만 프로토콜을 해독하고 상태를 유지하도록 더욱 스마트해졌습니다. NIDS에는 적용할 호스트에만 설치하면 되는 애플리케이션 기반 제품이 있습니다. NIDS는 각 정보 패킷의 공격 특성을 분석하지만 네트워크 부하가 높은 경우 일부 정보 패킷은 여전히 ​​폐기되어야 합니다. Network IDS 제품에는 SecureNetPro 및 Snort가 포함됩니다.

IDS 카테고리 8 - 네트워크 노드 IDS(NNIDS, 네트워크 노드 IDS): 일부 네트워크 IDS는 로드 후 높은 비율의 네트워크 패킷을 삭제하며 스위칭 네트워크는 종종 불안정합니다. 네트워크 IDS가 혼합된 전송 패킷을 보는 것을 방지합니다. NNIDS는 NIDS의 기능을 별도의 호스트에 위임하여 고속 및 전환 문제를 완화합니다. NNIDS와 개인 방화벽 기능은 유사하지만 차이점이 있습니다. NNIDS로 분류된 개인 방화벽의 경우 시도된 연결을 분석해야 합니다. 예를 들어, 많은 개인 방화벽에서 발견되는 "포트 xxx에 연결을 시도했습니다"와 달리 NNIDS는 모든 프로브를 프로파일링합니다. 또한 NNIDS는 호스트가 수신한 이벤트를 중앙 콘솔로 보냅니다. NNIDS 제품에는 BlackICE Agent 및 Tiny CMDS가 포함됩니다.

IDS 카테고리 9 - 개인 방화벽(Personal Firewall): 개인 방화벽은 별도의 시스템에 설치되어 들어오고 나가는 원치 않는 연결을 모두 차단하여 호스트 시스템을 보호합니다. NNIDS와 혼동하지 않도록 주의하세요. 개인 방화벽에는 ZoneAlarm 및 Sybergen이 포함됩니다.

IDS 카테고리 10 - 대상 기반 IDS: 이는 사람마다 다른 의미를 갖는 불명확한 IDS 용어 중 하나입니다. 가능한 정의 중 하나는 파일 무결성 검사기이고, 다른 하나는 공격에 취약하기 때문에 보호되는 네트워크에 대한 공격 서명만 찾는 네트워크 IDS입니다. 후자의 정의의 목적은 불필요한 공격을 검색하지 않기 때문에 IDS의 속도를 높이는 것입니다. (침입탐지워킹그룹, 침입탐지워킹그룹)

침입탐지워킹그룹의 목표는 침입탐지 시스템, 대응 시스템 및 이를 필요로 하는 사람들을 위한 정보 교환을 위한 데이터 형식과 절차 단계를 정의하는 것입니다. 대화형 관리 시스템은 매우 중요합니다. 침입 탐지 실무 그룹은 다른 IETF 조직과 협력하여 작업합니다. (이벤트 처리)

침입 감지는 시작에 불과합니다. 보다 일반적으로 콘솔 운영자는 지속적으로 경고를 받고 모든 잠재적인 사고를 개인적으로 추적할 시간을 확보할 방법이 없기 때문에 운영자는 사고 처리 팀이 나중에 사용할 수 있도록 관심 있는 이벤트에 플래그를 지정합니다. 초기 대응 이후 사건 처리, 즉 조사, 토론, 기소 등의 사항이 필요하다. (사고 대응)

감지된 잠재적 이벤트에 대한 초기 대응으로, 이후 이벤트 처리 절차에 따라 처리됩니다. (외딴 섬)

외딴 섬은 인터넷과의 네트워크를 완전히 차단하는 것이 거의 최후의 수단이므로 다른 방법은 없습니다. 조직에서는 대규모 바이러스 발생 또는 눈에 띄는 보안 공격이 발생한 경우에만 이 방법을 사용합니다. (Promiscuous 모드)

기본적으로 IDS 네트워크 인터페이스는 호스트에 들어오고 나가는 정보만 볼 수 있는데, 이를 소위 비프로미스큐어(Non-promiscuous 모드)라고 합니다. 네트워크 인터페이스가 무차별 모드인 경우 소스 또는 대상에 관계없이 네트워크 세그먼트의 모든 네트워크 트래픽을 볼 수 있습니다. 이는 네트워크 IDS에 필요하지만 패킷 스니퍼가 네트워크 트래픽을 모니터링하기 위해 악용할 수도 있습니다. 스위치형 허브는 이 문제를 해결할 수 있습니다. 전체 트래픽을 볼 수 있는 곳에는 많은 스팬 포트가 있습니다.

라우터

라우터는 서로 다른 서브넷을 연결하는 데 사용되는 허브입니다. OSI 7계층 모델의 전송 계층과 네트워크 계층에서 작동합니다. 라우터의 기본 기능은 네트워크 패킷을 목적지로 전송하는 것입니다. 일부 라우터에는 원치 않는 패킷을 필터링할 수 있는 ACL(액세스 제어 목록)도 있습니다. 많은 라우터는 로그 정보를 IDS 시스템에 삽입하여 차단된 네트워크 액세스 시도에 대한 귀중한 정보를 제공할 수 있습니다.

(스캐너)

스캐너는 네트워크와 호스트의 취약점을 검색하는 자동화된 도구입니다. 침입 탐지 시스템과 마찬가지로 이 시스템도 아래에 설명된 여러 유형으로 구분됩니다.

스캐너 유형 1 - 네트워크 스캐너: 네트워크 스캐너는 네트워크를 검색하여 네트워크에 있는 모든 호스트를 찾습니다. 전통적으로 ICMP ping 기술을 사용하지만 이 방법은 쉽게 감지됩니다. 은밀해지기 위해 Ack 스캐닝, 핀 스캐닝과 같은 새로운 기술이 등장했습니다. 이러한 보다 은밀한 스캐너를 사용하는 또 다른 이점은 다양한 운영 체제가 이러한 스캔에 다르게 반응하여 공격자에게 더 귀중한 정보를 제공한다는 것입니다. 이러한 도구의 예로는 nmap이 있습니다.

스캐너 유형 2 - 네트워크 취약성 스캐너: 네트워크 취약성 스캐너는 네트워크 스캐너를 한 단계 더 발전시켜 대상 호스트를 탐지하고 해커가 악용할 수 있는 모든 것을 강조할 수 있습니다. 네트워크 취약성 스캐너는 공격자와 보안 전문가가 사용할 수 있지만 종종 IDS 시스템에 "스트레스"를 줄 수 있습니다. 이러한 제품에는 Retina 및 CyberCop이 포함됩니다.

스캐너 유형 3 - 호스트 취약성 스캐너: 이 유형의 도구는 권한이 있는 사용자처럼 작동하여 내부에서 호스트를 스캔하여 비밀번호 강도, 보안 정책, 파일 권한 등을 탐지합니다. Network IDS, 특히 Host IDS는 이를 감지할 수 있습니다. 이 범주의 제품에는 원격 Windows 취약성 스캐너이며 자동으로 취약성을 복구할 수 있는 SecurityExpressions가 포함됩니다. 데이터베이스의 취약점을 검색하는 ISS 데이터베이스 스캐너도 있습니다. (Script Kid)

2000년 2월 야후(Yahoo)에 대한 서비스 거부 공격과 같이 가장 널리 알려진 인터넷 보안 침해 사고 중 일부는 목적을 갖고 있는 것처럼 보이는 10대 중학생들에 의해 저질러졌습니다. 그래서 자신의 이름을 알리는 것입니다. 보안 전문가들은 종종 이러한 사람들을 스크립트 키디(Script Kiddies)라고 부릅니다. 스크립트 키디는 일반적으로 인터넷에서 다운로드한 정보, 소프트웨어 또는 스크립트를 사용하여 대상 사이트를 손상시키는 원치 않는 미숙련 크래커입니다. 이러한 스크립트 아이들은 기술이 부족하고 대개 친구들에게 깊은 인상을 주기 위해 혼란을 일으킬 시간이 많기 때문에 해커 그룹이나 법 집행 기관에서 무시당합니다. 스크립트 키디는 총을 쏘는 아이들과 같습니다. 강력한 적이 되기 위해 탄도학 이론을 이해할 필요도 없고 총을 만들 수도 없습니다. 그러므로 그들의 힘은 언제라도 과소평가될 수 없습니다. (회피)

회피는 모든 원치 않는 패킷을 거부하도록 국경 장치를 구성하는 것을 의미합니다. 일부 회피는 특정 국가의 모든 IP 주소에서 오는 패킷을 거부하기도 합니다. (특징)

IDS의 핵심은 이벤트 발생 시 IDS가 실행되도록 하는 공격 시그니처입니다. 기능 정보가 너무 짧으면 IDS가 자주 실행되어 잘못된 경보나 잘못된 보고가 발생하고, 기능 정보가 너무 길면 IDS가 느려집니다. 어떤 사람들은 IDS가 지원하는 기능의 수를 IDS 품질의 기준으로 간주합니다. 그러나 일부 제조업체는 하나의 기능을 사용하여 많은 공격을 커버하는 반면 일부 제조업체는 이러한 기능을 별도로 나열하여 더 많은 기능이 포함되어 있다는 인상을 줍니다. 더 나은 IDS입니다. 모든 사람이 이 점을 분명히 해야 합니다. (숨김)

숨김은 공격 탐지 시 IDS가 외부 세계에 보이지 않는다는 의미입니다. DMZ 외부에서 자주 사용되며 방화벽으로 보호되지 않습니다. 자동 응답과 같은 몇 가지 단점이 있습니다.