침입탐지시스템의 개념

- IDS는 IntrusionDetectionSystem의 약자입니다. 해석하면 말 그대로 침입탐지시스템입니다.

- 어떤 침입탐지시스템인지에 따라서 역할이 다르지만 (N-IDS,H-IDS) 하는 일은 이상행동을 탐지하고 알리는 역할을 합니다.

- 탐지 알고리즘에는 오용탐지기법과 비정상행위탐지기법이 있습니다.

​

오용탐지 (Misuse)

- 비정상 행위(시그니처 패턴)를 정하고 그 행위를 탐지한다. 

장점 : 비정상행위탐지에 비해 속도가 빠르다.

단점 : 정해진 비정상 행위만 탐지가능하기 때문에 새로나온 패턴의 공격을 탐지할 수 없다. 

​

비정상 행위탐지 (Anomaly)

- 정상 행위에 대한 자료값,통계 등을 통해 이에 벗어나는 행동을 탐지한다. 

장점 : 새로나온 패턴의 공격을 감지할 수 있다.

단점 : 오용탐지에 비해 속도가 느리다.[출처] 침입탐지시스템(IDS)의 개념과 탐지종류|작성자 KNIS 케마


이상탐지 (Anomaly Detection))

- 예상치 못한 취약점을 이용한 침입 행위를 탐지한다. 

장점 : 새로운 공격의 자동적 발견이 가능 함.

단점 : 주기적인 프로파일 재학습이 피요하다