기본 침입 탐지 시스템

이 인용문 보기 그레이스 호퍼 제독

“2차 세계 대전 이전에는 삶이 더 단순했습니다. 그 후에 시스템이 생겼습니다.”

그래서 이것이 실제로 의미하는 바는 무엇입니까? 시스템(컴퓨터 시스템)의 발명과 함께 네트워킹에 대한 다양한 요구가 증가했고 네트워킹과 함께 데이터 공유에 대한 아이디어가 나왔습니다. 오늘날 정보 기술의 발달과 해킹 도구의 접근 및 개발의 용이성과 함께 세계화 시대에 중요한 데이터에 대한 보안의 필요성이 대두되고 있습니다. 방화벽은 이를 제공할 수 있지만 관리자에게 공격에 대해 경고하지 않습니다. 바로 여기에서 일종의 감지 시스템인 다른 시스템이 필요합니다.

침입 탐지 시스템은 위의 문제에 대한 필수 솔루션입니다. 이는 원치 않는 개입의 존재를 감지하고 시스템 관리자에게 경고하는 가정이나 조직의 도난 경보 시스템과 유사합니다.

누군가 악의적인 활동을 사용하여 시스템을 침입하려고 할 때 관리자에게 자동으로 경고하도록 설계된 소프트웨어 유형입니다.

이제 침입 감지 시스템에 대해 알아보기 전에 방화벽에 대해 간략히 살펴보겠습니다.

방화벽은 시스템이나 네트워크에 대한 악의적인 공격을 방지하는 데 사용할 수 있는 소프트웨어 프로그램 또는 하드웨어 장치입니다. 기본적으로 시스템이나 네트워크에 위협을 줄 수 있는 모든 종류의 정보를 차단하는 필터 역할을 합니다. 들어오는 패킷의 일부 내용을 모니터링하거나 전체 패킷을 모니터링할 수 있습니다.

침입 탐지 시스템의 분류:

IDS가 보호하는 시스템 유형에 따라:

<울>

네트워크 침입 탐지 시스템 :이 시스템은 트래픽을 지속적으로 분석하고 라이브러리에서 알려진 공격과 비교하여 개별 네트워크 또는 서브넷의 트래픽을 모니터링합니다. 공격이 감지되면 시스템 관리자에게 경고가 전송됩니다. 주로 네트워크의 중요한 지점에 배치되어 네트워크의 다른 장치로 오가는 트래픽을 주시할 수 있습니다. IDS는 네트워크 경계를 따라 또는 네트워크와 서버 사이에 배치됩니다. 이 시스템의 장점은 각 시스템에 로드할 필요 없이 쉽고 저렴한 비용으로 배포할 수 있다는 것입니다.

<울>

호스트 침입 감지 시스템 :이러한 시스템은 시스템에 대한 네트워크 연결, 즉 패킷의 수신 및 발신을 지속적으로 모니터링하고 시스템 파일에 대한 감사를 수행하는 개별 시스템에서 작동하며 불일치가 있을 경우 시스템 관리자에게 경고합니다. 이 시스템은 컴퓨터의 운영 체제를 모니터링합니다. IDS가 컴퓨터에 설치됩니다. 이 시스템의 장점은 전체 시스템을 정확하게 모니터링할 수 있으며 다른 하드웨어를 설치할 필요가 없다는 것입니다.

작업 방식에 따라:

<울>

서명 기반 침입 탐지 시스템 :매칭을 원칙으로 하는 시스템입니다. 데이터가 분석되고 알려진 공격의 서명과 비교됩니다. 일치하는 경우 경고가 발행됩니다. 이 시스템의 장점은 사용자가 이해할 수 있는 정확도와 표준 알람이 더 많다는 것입니다.

<울>

이상 기반 침입 탐지 시스템 :사용된 대역폭, 트래픽에 대해 정의된 프로토콜, 포트 및 네트워크의 일부인 장치로 구성된 일반 네트워크 트래픽의 통계 모델로 구성됩니다. 정기적으로 네트워크 트래픽을 모니터링하고 통계 모델과 비교합니다. 이상이나 불일치가 있는 경우 관리자에게 경고가 표시됩니다. 이 시스템의 장점은 새롭고 독특한 공격을 탐지할 수 있다는 것입니다.

기능 기준:

<울>

수동적 침입 탐지 시스템 :단순히 악성코드 동작의 종류를 감지하고 시스템 또는 네트워크 관리자에게 경고를 보냅니다. (지금까지 본 것입니다!). 그러면 관리자가 필요한 조치를 취합니다.

<울>

반응형 침입 탐지 시스템 :위협을 감지할 뿐만 아니라 의심스러운 연결을 재설정하거나 의심스러운 소스의 네트워크 트래픽을 차단하여 특정 작업을 수행합니다. 침입 방지 시스템이라고도 합니다.

침입 탐지 시스템의 일반적인 기능:

<울>

사용자 및 시스템 활동을 모니터링하고 분석합니다.

시스템 파일, 기타 구성 및 운영 체제에 대한 감사를 수행합니다.

시스템 및 데이터 파일의 무결성을 평가합니다.

알려진 공격을 기반으로 패턴을 분석합니다.

시스템 구성의 오류를 감지합니다.

시스템이 위험에 처하면 감지하고 경고합니다.

무료 침입 탐지 소프트웨어

Snort 침입 탐지 시스템

가장 널리 사용되는 침입 탐지 소프트웨어 중 하나는 Snort 소프트웨어입니다. 소스파일에서 개발한 네트워크 침입탐지 소프트웨어입니다. 실시간 트래픽 분석 및 프로토콜 분석, 패턴 매칭, 각종 공격 탐지 등을 수행합니다.

Snort 기반 침입 탐지 시스템은 다음 구성요소로 구성됩니다.

<울>

패킷 디코더 :다른 네트워크에서 패킷을 가져와 전처리 또는 추가 작업을 위해 준비합니다. 기본적으로 들어오는 네트워크 패킷을 디코딩합니다.

전처리기 :데이터 패킷을 준비 및 수정하고 데이터 패킷의 조각 모음을 수행하고 TCP 스트림을 디코딩합니다.

탐지 엔진 :Snort 규칙을 기반으로 패킷 탐지를 수행합니다. 규칙과 일치하는 패킷이 있으면 적절한 조치가 취해지고 그렇지 않으면 삭제됩니다.

로깅 및 경고 시스템 :탐지된 패킷은 시스템 파일에 기록되거나 위협이 발생할 경우 시스템에 경고합니다.

출력 모듈 :로깅 및 경고 시스템의 출력 유형을 제어합니다.

침입 탐지 시스템의 장점

• 네트워크 또는 컴퓨터는 침입이나 공격에 대해 지속적으로 모니터링됩니다.
• 시스템은 특정 클라이언트의 필요에 따라 수정 및 변경될 수 있으며 시스템 및 네트워크에 대한 외부 및 내부 위협을 도울 수 있습니다.
• 네트워크 손상을 효과적으로 방지합니다.
• 간편한 보안 관리 시스템을 가능하게 하는 사용자 친화적인 인터페이스를 제공합니다.
• 시스템의 파일 및 디렉토리에 대한 모든 변경 사항을 쉽게 감지하고 보고할 수 있습니다.

침입 탐지 시스템의 유일한 단점은 공격의 출처를 탐지할 수 없고 공격의 경우 전체 네트워크를 잠그는 것뿐입니다. 이 개념이나 전기 및 전자 프로젝트에 대한 추가 질문이 있으면 아래에 의견을 남겨주세요.