살구.LOG
IDS(침입 탐지 시스템)의 분류 본문
IDS는 설치 위치와 분석 대상에 따라 크게 두 가지로 나뉜다.
1. NIDS (Network-based IDS, 네트워크 기반)
- 감시 대상: 네트워크 구간을 오가는 패킷(Packet)
- 설치 위치: 네트워크 길목 (게이트웨이, 스위치 미러링 포트 등)
- 특징:
- 한 대의 장비로 내부 네트워크 전체(서브넷) 감시 가능.
- 기존 운영 서버의 성능(CPU, 메모리)에 영향을 주지 않음.
- 초기 구축비용 저렴. 운영체제와 독립적 운영
- 단점
- 암호화된 트래픽(HTTPS 등)은 내용을 볼 수 없어 탐지 불가. 호스트 내부에서 일어나는 파일 변조는 알 수 없음.
- 패킷 손실률이 많아 탐지율 저하
- 오탐율이 높음(False Positive)
- 대표 도구: Snort(스노트), Suricata(수리카타)
2. HIDS (Host-based IDS, 호스트 기반)
- 감시 대상: 서버/PC 내부의 OS 로그, 파일 무결성, 시스템 콜
- 설치 위치: 보호하려는 개별 호스트(서버, 단말기) 내부 (에이전트 형태)
- 특징:
- 네트워크에서 놓친 공격(암호화 트래픽 등)이나 내부자 권한 남용 공격 탐지 가능.
- 해커가 백도어를 심거나 중요 파일(.exe, /etc/passwd)을 변조하는 행위를 정확히 잡아냄.
- 탐지 정확도가 높으며, 트리이목마, 백도어 등 탐지 가능
- 추가적인 하드웨어 불필요
- 단점
- 보호할 서버(시스템)마다 일일이 설치해야 하므로 관리 부담 증가. 서버의 리소스 소모.
- 서버가 완전히 장악되면 HIDS 기능도 훼손될 위험 존재.
- 다양한 운영체제를 지원해야 함
- DoS 공격으로 IDS 무력화됨.
- 구현이 어려움
- 대표 도구: Tripwire, AIDE, Samhain, OSSEC
'정보보호 > 기술' 카테고리의 다른 글
| 해시함수의 성질 (0) | 2026.06.09 |
|---|---|
| PGP(Pretty Good Privacy) 동작 원리 및 암호화 알고리즘 (0) | 2026.06.09 |
| VPN의 종류 (1) | 2026.06.08 |
| 암호화 알고리즘 (0) | 2026.06.07 |
| XSS (cross-site-Scripting) (1) | 2026.06.03 |