침입탐지시스템의 오용탐지 기법


오용탐지 (Misuse)

- 비정상 행위(시그니처 패턴)를 정하고 그 행위를 탐지한다. 

장점 : 비정상행위탐지에 비해 속도가 빠르다.

단점 : 정해진 비정상 행위만 탐지가능하기 때문에 새로나온 패턴의 공격을 탐지할 수 없다. 


비정상 행위탐지 (Anomaly)

- 정상 행위에 대한 자료값,통계 등을 통해 이에 벗어나는 행동을 탐지한다. 

장점 : 새로나온 패턴의 공격을 감지할 수 있다.

단점 : 오용탐지에 비해 속도가 느리다.[출처] 침입탐지시스템(IDS)의 개념과 탐지종류|작성자 KNIS 케마


이상탐지 (Anomaly Detection))

- 예상치 못한 취약점을 이용한 침입 행위를 탐지한다. 

장점 : 새로운 공격의 자동적 발견이 가능 함.

단점 : 주기적인 프로파일 재학습이 피요하다


하이브리드 방식(Hybrid Detection)

- 하이브리드 방식은 오용 탐지와 비정상 행위를 탐지 한다.

장점 : 하이브리드 방식은 오용 탐지와 비정상 행위 탐지의 장점을 모아서 시스템을 구축 함