컴퓨터 지식 네트워크 - 컴퓨터 프로그래밍 - 침입 탐지 시스템이란 무엇입니까? 그것의 기본 구성 요소는 무엇입니까?

침입 탐지 시스템이란 무엇입니까? 그것의 기본 구성 요소는 무엇입니까?

침입 탐지는 방화벽을 합리적으로 보완하여 시스템이 네트워크 공격에 대처할 수 있도록 돕고 시스템 관리자의 보안 관리 기능 (보안 감사, 모니터링, 공격 식별 및 응답 포함) 을 확장하여 정보 보안 인프라의 무결성을 향상시킵니다. 컴퓨터 네트워크 시스템의 몇 가지 주요 지점에서 정보를 수집하고 분석하여 네트워크에 보안 정책 위반 및 공격의 징후가 있는지 확인합니다. 침입 탐지는 방화벽 뒤의 두 번째 보안 게이트로 간주되며 네트워크 성능에 영향을 미치지 않고 네트워크를 모니터링하여 내부 공격, 외부 공격 및 오작동을 실시간으로 보호합니다. 이 작업은 다음 작업을 수행하여 수행됩니다.

사용자 및 시스템 활동 모니터링 및 분석

시스템 구조 및 약점 감사;

알려진 공격을 반영하는 활동 패턴을 식별하고 관계자에게 알립니다.

비정상 행동 패턴의 통계 분석

중요한 시스템 및 데이터 파일의 무결성을 평가합니다.

운영 체제 관리를 감사 및 추적하여 보안 정책을 위반하는 사용자 동작을 식별합니다.

성공적인 침입 탐지 시스템의 경우 시스템 관리자가 프로그램, 파일, 하드웨어 장치 등 네트워크 시스템의 모든 변경 사항을 적시에 파악할 수 있습니다. ) 또한 네트워크 보안 정책 수립에 대한 지침을 제공합니다. 더 중요한 것은 비전문가가 네트워크 보안을 쉽게 얻을 수 있도록 관리 및 구성이 용이해야 한다는 것입니다. 또한 침입 탐지의 규모도 네트워크 위협, 시스템 구조 및 보안 요구 사항의 변화에 따라 달라집니다. 침입 감지 시스템은 네트워크 연결 차단, 이벤트 기록, 경고 등 침입이 발견된 후 즉시 응답합니다.

정보 수집 침입 탐지의 첫 번째 단계는 시스템, 네트워크, 데이터 및 사용자 활동의 상태와 동작을 포함한 정보 수집입니다. 또한 컴퓨터 네트워크 시스템의 여러 키 (네트워크 세그먼트, 호스트) 에서 정보를 수집해야 합니다. 탐지 범위를 최대한 확대하는 것 외에도 한 소스의 정보는 의심스럽지 않을 수 있지만 여러 소스의 정보 불일치는 의심스러운 행동이나 침입의 가장 좋은 지표라는 점도 중요한 요소입니다.

물론 침입 탐지는 수집된 정보의 신뢰성과 정확성에 크게 의존하므로 우리가 알고 있는 진실하고 정확한 소프트웨어를 사용해야만 보고할 수 있습니다. 해커는 하위 프로그램, 라이브러리 및 기타 프로그램이 호출하는 도구와 같은 정보를 혼합하고 제거하기 위해 소프트웨어를 자주 교체하기 때문입니다. 해커의 시스템 수정은 시스템을 고장나게 할 수도 있고, 정상으로 보일 수도 있지만, 사실은 그렇지 않다. 예를 들어, 유닉스 시스템의 PS 명령어는 침입 과정을 표시하지 않는 명령어로 바꿀 수도 있고, 편집기를 지정된 파일과 다른 파일로 바꿀 수도 있다. (해커는 예비 테스트 파일을 다른 버전으로 숨겼다.) 이를 위해서는 네트워크 시스템을 감지하는 데 사용되는 소프트웨어의 무결성을 보장해야 합니다. 특히 침입 감지 시스템 소프트웨어 자체는 변조를 방지하고 오류 정보를 수집하는 것을 방지하기 위해 상당히 견고해야 합니다.

침입 탐지에 사용되는 정보는 일반적으로 다음 네 가지 영역에서 비롯됩니다.

1. 시스템 및 네트워크 로그 파일

해커는 종종 시스템 로그 파일에 흔적을 남기기 때문에 시스템 및 네트워크 로그 파일 정보를 최대한 활용하여 침입을 탐지해야 합니다. 로그에는 시스템 및 네트워크의 예외 및 예기치 않은 활동에 대한 증거가 포함되어 있으며, 이는 누군가가 시스템을 침입하거나 성공적으로 침입했음을 나타낼 수 있습니다. 로그 파일을 보면 성공적인 침입 또는 침입 시도를 발견하고 적절한 비상 대응 프로그램을 신속하게 시작할 수 있습니다. 로그 파일에는 다양한 동작 유형이 기록되며, 각 유형에는 서로 다른 정보가 포함되어 있습니다. 예를 들어 사용자 활동 유형의 로그에는 로그인, 사용자 ID 변경, 파일에 대한 사용자 액세스, 권한 부여, 인증 정보 등이 포함됩니다. 분명히, 사용자 활동의 경우, 비정상적이거나 예상치 못한 행동은 반복 로그인 실패, 예기치 않은 위치에 로그인, 중요한 파일에 대한 무단 액세스 시도 등이다.

2. 디렉토리 및 파일의 예기치 않은 변경

네트워크 환경의 파일 시스템에는 많은 소프트웨어와 데이터 파일이 포함되어 있지만 중요한 정보가 포함된 파일과 개인 데이터 파일은 해커가 수정하거나 파괴하는 대상이 되는 경우가 많습니다. 디렉토리 및 파일의 예기치 않은 변경 사항 (수정, 생성 및 삭제 포함), 특히 일반적으로 액세스를 제한하는 변경 사항은 침입으로 인한 지침 및 신호일 가능성이 높습니다. 해커는 액세스 권한이 있는 시스템의 파일을 교체, 수정, 파괴하는 경우가 많으며, 시스템에서 자신의 성과와 활동 흔적을 숨기기 위해 시스템 프로그램을 교체하거나 시스템 로그 파일을 수정하는 방법을 모색합니다.

3. 프로그램 실행의 예기치 않은 행동

네트워크 시스템의 프로그램 실행에는 일반적으로 운영 체제, 네트워크 서비스, 사용자가 시작한 프로그램 및 데이터베이스 서버와 같은 전용 어플리케이션이 포함됩니다. 시스템에서 실행되는 각 프로그램은 하나 이상의 프로세스에 의해 구현됩니다. 각 프로세스는 프로세스가 액세스할 수 있는 시스템 리소스, 프로그램 및 데이터 파일을 제어하는 서로 다른 권한을 가진 환경에서 실행됩니다. 프로세스의 실행 동작은 프로세스가 실행될 때 수행되는 작업으로 표시됩니다. 사용하는 시스템 자원은 여러 방면에서 다르다. 작업에는 계산, 파일 전송, 장치 및 기타 프로세스, 네트워크 간 다른 프로세스와의 통신이 포함됩니다.

진행 중인 예기치 않은 행동은 해커가 시스템을 해킹하고 있음을 나타낼 수 있습니다.

上篇: JD 배송은 보통 며칠 정도 걸리나요? 下篇: 라텍스 페인트는 한 통에 얼마입니까?
관련 내용