[CISA-정보자산보호] 서명 기반 침입탐지 시스템 IDS

[CISA-정보자산보호] 

서명 기반 침입탐지 시스템(IDS)

침입 탐지 시스템(Intrusion Detection System, IDS)은 무단 액세스, 오용 또는 보안 위반에 대해 컴퓨터 네트워크 또는 시스템을 모니터링하는 보안 기술 유형중 하나입니다. 

잠재적인 보안 위협을 실시간으로 식별하고 대응하는 데 도움이 되므로 컴퓨터 네트워크 및 시스템의 보안을 유지하는 데 중요한 도구입니다.

¶ 침입탐지시스템이란?
침입 탐지 시스템(IDS)은 컴퓨터 네트워크 또는 시스템에 대한 무단 액세스, 오용 또는 보안 위반을 탐지하도록 설계된 소프트웨어 또는 하드웨어 기반 보안 시스템입니다. 시스템은 서명 일치, 이상 탐지 및 동작 분석과 같은 다양한 방법을 사용하여 잠재적인 보안 위협을 식별하고 관리자에게 경고합니다.

¶ IDS프로세스
IDS는 네트워크 트래픽, 시스템 로그 및 기타 보안 관련 데이터 소스를 모니터링하여 무단 활동 또는 보안 침해의 징후를 찾습니다. 잠재적인 보안 위협이 감지되면 IDS는 관리자에게 문제를 경고하여 위협을 예방하거나 완화하기 위한 적절한 조치를 취할 수 있도록 합니다.

¶ IDS의 종류
IDS에는 네트워크 기반과 호스트 기반의 두 가지 주요 유형이 있습니다. 

NIDS(네트워크 기반 IDS)는 네트워크 트래픽을 모니터링하여 보안 위협을 감지하고,

호스트 기반 IDS(HID)는 서버 및 워크스테이션과 같은 개별 시스템의 활동을 모니터링합니다.

¶ IDS의 장점
조기 탐지: IDS는 관리자가 잠재적인 보안 위협을 조기에 탐지할 수 있도록 하여 위협에 대응하고 방지하거나 완화할 시간을 줍니다.
보안 강화: IDS는 잠재적인 보안 위협을 실시간으로 감지하고 대응함으로써 컴퓨터 네트워크 및 시스템의 전반적인 보안을 강화하는 데 도움을 줍니다.
규정 준수: IDS는 또한 조직이 PCI DSS, HIPAA 등과 같은 보안 규정 요구 사항을 충족하도록 도울 수 있습니다.

¶ IDS의 과제
오탐지: IDS의 주요 문제 중 하나는 시스템이 잠재적인 보안 위협을 감지했지만 오경보로 판명될 때 발생하는 오탐지 경고의 가능성입니다.
- 거짓 부정: 거짓 부정은 시스템이 실제 보안 위협을 감지하지 못할 때 발생합니다.

  시스템에 위협을 탐지하기 위한 적절한 규칙이나 시그니처가 없거나 위협이 어떤 식으로든 위장된 경우에 발생할 수 있습니다.
- 복잡성: IDS는 특히 모니터링할 여러 네트워크와 시스템이 있는 대규모 조직의 경우 설정 및 관리가 복잡할 수 있습니다.

결론적으로 침입탐지시스템은 컴퓨터 네트워크와 시스템의 보안을 유지하는데 중요한 도구이다. 

IDS와 관련된 문제가 있지만 조기 탐지 및 보안 강화의 이점으로 인해 IDS는 모든 규모의 조직에 필수적인 도구로 사용됩니다.