살구.LOG

IDS(침입 탐지 시스템)의 분류 본문

정보보호/기술

IDS(침입 탐지 시스템)의 분류

Salgoo26 2026. 6. 8. 01:53

IDS는 설치 위치와 분석 대상에 따라 크게 두 가지로 나뉜다.

1. NIDS (Network-based IDS, 네트워크 기반)

  • 감시 대상: 네트워크 구간을 오가는 패킷(Packet)
  • 설치 위치: 네트워크 길목 (게이트웨이, 스위치 미러링 포트 등)
  • 특징:
    • 한 대의 장비로 내부 네트워크 전체(서브넷) 감시 가능.
    • 기존 운영 서버의 성능(CPU, 메모리)에 영향을 주지 않음.
    • 초기 구축비용 저렴. 운영체제와 독립적 운영
  • 단점
    • 암호화된 트래픽(HTTPS 등)은 내용을 볼 수 없어 탐지 불가. 호스트 내부에서 일어나는 파일 변조는 알 수 없음.
    • 패킷 손실률이 많아 탐지율 저하
    • 오탐율이 높음(False Positive)
  • 대표 도구: Snort(스노트), Suricata(수리카타)

 

2. HIDS (Host-based IDS, 호스트 기반)

  • 감시 대상: 서버/PC 내부의 OS 로그, 파일 무결성, 시스템 콜
  • 설치 위치: 보호하려는 개별 호스트(서버, 단말기) 내부 (에이전트 형태)
  • 특징:
    • 네트워크에서 놓친 공격(암호화 트래픽 등)이나 내부자 권한 남용 공격 탐지 가능.
    • 해커가 백도어를 심거나 중요 파일(.exe, /etc/passwd)을 변조하는 행위를 정확히 잡아냄.
    • 탐지 정확도가 높으며, 트리이목마, 백도어 등 탐지 가능
    • 추가적인 하드웨어 불필요
  • 단점
    • 보호할 서버(시스템)마다 일일이 설치해야 하므로 관리 부담 증가. 서버의 리소스 소모.
    • 서버가 완전히 장악되면 HIDS 기능도 훼손될 위험 존재.
    • 다양한 운영체제를 지원해야 함
    • DoS 공격으로 IDS 무력화됨.
    • 구현이 어려움
  • 대표 도구: Tripwire, AIDE, Samhain, OSSEC

'정보보호 > 기술' 카테고리의 다른 글

해시함수의 성질  (0) 2026.06.09
PGP(Pretty Good Privacy) 동작 원리 및 암호화 알고리즘  (0) 2026.06.09
VPN의 종류  (1) 2026.06.08
암호화 알고리즘  (0) 2026.06.07
XSS (cross-site-Scripting)  (1) 2026.06.03