IDS – 침입 탐지 시스템
IDS란 시스템과 네트워크 작업을 분석하여 권한이 없는 사용자가 로그인하거나 악의적인 작업이 있는지 찾아내는 활성 프로세스 또는 장치를 말한다. IDS가 예외적인 작업을 찾아내는 방법은 다양하나 IDS의 궁극적인 목적은 침입자가 시스템 자원에 심각한 손상을 끼치기 전에 범인을 찾아내는 것이다.
IDS는 시스템 공격, 오용이나 침입을 방지하고 네트워크 활동을 감시하며 네트워크와 시스템 설정에 취약점이 있는지 확인해 데이터 무결성을 분석하는 등의 다양한 작업을 수행할 수 있다.
지식 기반 IDS - 흔히 발생하는 보안 공격 데이터베이스를 사용하여 침입이 발생하기 전에 보안 관리자에게 먼저 알려준다.
다른 행동상의 특징 기반 IDS – 모든 자원 사용 유형에서 예외적인 증상을 추적하는데 일반적으로 이러한 예외적인 증상은 악의적인 행동이 일어나고 있다는 신호이다.
독립적인 서비스의 IDS – 백그라운드에서 작업들을 수동적으로 청취하며 외부에서 의심이 가는 패킷이 들어온다면 기록하기 시작한다.
보안 분야에서 가장 많이 사용되는 유형의 IDS는 호스트 기반과 네트워크 기반의 IDS이다.
호스트 기반 - 시스템 오용, 외부로부터의 침입 행위를 찾아내기 위해 여러 영역 분석. 공격 유형이 담긴 내부 DB와 비교한다.
네트워크 기반 – 패킷을 라우터나 호스트 수준에서 살펴보고 검사. 의심된다면 자세한 정보 기록함. 네트워크 공격 유형 담은 DB를 살펴보고 각 패킷에 심각성 수준 할당함