침입탐지란 무엇이며 침입탐지 시스템 구조는 무엇인가요?

침입 감지는 방화벽에 대한 합리적인 보완책입니다.

침입 감지 시스템 구조는 다음으로 구성됩니다.

1. 이벤트 생성기: 그 목적은 전체 컴퓨팅 환경에서 이벤트를 획득하고 이 이벤트를 시스템의 다른 부분에 제공하는 것입니다.

2. 이벤트 분석기: 분석 후 데이터를 획득하고 분석 결과를 생성합니다.

3. 응답 유닛: 분석 결과에 반응하는 기능 유닛으로, 연결 끊기, 파일 속성 변경 등 강력한 반응을 할 수도 있고, 단순히 알람을 보낼 수도 있습니다.

4. 이벤트 데이터베이스는 다양한 중간 및 최종 데이터가 저장되는 장소의 총칭입니다. 복잡한 데이터베이스일 수도 있고 간단한 텍스트 파일일 수도 있습니다.

확장 정보:

침입 감지 시스템은 침입 감지 동작에 따라 이상 감지와 오용 감지의 두 가지 모드로 구분됩니다. 전자는 먼저 시스템 액세스의 정상적인 동작 모델을 설정해야 합니다. 이 모델을 따르지 않는 방문자 동작은 침입으로 판단됩니다.

반대로 후자는 발생할 수 있는 모든 불리하고 용납할 수 없는 행동을 먼저 요약하고 모델을 확립해야 합니다. 이 모델을 준수하는 방문자의 행동은 침입으로 판단됩니다.

이 두 가지 모드의 보안 전략은 완전히 다르며 각각 장단점이 있습니다. 이상 탐지의 오탐률은 매우 낮지만, 정상적인 행동 패턴에 따르지 않는 행동은 반드시 악의적인 공격은 아니므로 이 전략은 오탐률이 더 높습니다.

오용 감지는 정렬 이상과 직접적으로 일치하는 허용할 수 없는 동작 패턴으로 인해 오탐지율이 낮습니다. 그러나 악의적인 행위는 끊임없이 변화하고 행위 패턴 라이브러리에 수집되지 않을 수 있으므로 위음성 비율이 높습니다.

이를 위해서는 사용자가 시스템의 특성과 보안 요구 사항에 따라 전략을 수립하고 행동 탐지 모드를 선택해야 합니다. 이제 사용자는 두 가지 모드를 결합한 전략을 채택합니다.

바이두 백과사전 - 침입 탐지

바이두 백과사전 - 침입 탐지 시스템