침입 탐지 시스템

Intrusion detection system

침입 탐지 시스템(IDS, 침입 방지 시스템 또는 IPS)은 네트워크 또는 시스템에서 악의적인 활동 또는 정책 [1]위반을 모니터링하는 장치 또는 소프트웨어 응용 프로그램입니다.침입 액티비티 또는 위반은 일반적으로 관리자에게 보고되거나 보안정보이벤트 관리(SIEM) 시스템을 사용하여 일원적으로 수집됩니다.SIEM 시스템은 여러 소스의 출력을 결합하고 경보 필터링 기술을 사용하여 악의적인 활동과 잘못된 [2]경보를 구분합니다.

IDS 유형은 단일 시스템에서 대규모 [3]네트워크에 이르기까지 범위가 다양합니다.가장 일반적인 분류는 Network Intrusion Detection System(NIDS; 네트워크 침입 탐지 시스템)과 Host-Based Intrusion Detection System(HIDS; 호스트 기반 침입 탐지 시스템)입니다.중요한 operating system 파일을 감시하는 시스템은 HIDS의 한 예이며, 착신 네트워크트래픽을 분석하는 시스템은 NIDS의 한 예입니다.IDS 를 검출 어프로치로 분류할 수도 있습니다.가장 잘 알려진 변형으로는 시그니처 기반 검출(맬웨어 등 불량 패턴 인식)과 이상 기반 검출(머신 러닝에 의존하는 "양호" 트래픽 모델로부터의 편차를 검출)이 있습니다.또 다른 일반적인 변형으로는 평판 기반 탐지(평판 점수에 따라 잠재적 위협 인식)가 있습니다.일부 IDS 제품에는 탐지된 침입에 대응하는 기능이 있습니다.응답 기능이 있는 시스템을 일반적으로 침입 방지 [4]시스템이라고 합니다.침입 탐지 시스템은 허니팟을 사용하여 악의적인 [5]트래픽을 유인 및 특성화하는 등 사용자 지정 도구로 시스템을 강화함으로써 특정 목적을 수행할 수도 있습니다.

방화벽과의 비교

둘 다 네트워크보안과 관련되어 있지만 IDS는 기존 네트워크방화벽(Next-Generation Firewall과 구별됨)에서는 정적 규칙 세트를 사용하여 네트워크 접속을 허용 또는 거부한다는 점에서 방화벽과 다릅니다.적절한 규칙 집합이 정의되어 있다고 가정하여 암묵적으로 침입을 방지합니다.기본적으로 방화벽은 네트워크 간의 접근을 제한하여 침입을 방지하고 네트워크 내부에서 공격을 시그널링하지 않습니다.IDS는 의심스러운 침입이 발생하면 이를 설명하고 알람에 신호를 보냅니다.IDS 는, 시스템내에서 발생하는 공격도 감시합니다.이것은, 통상은 네트워크 통신을 조사해, 일반적인 컴퓨터 공격의 휴리스틱과 패턴(흔히 시그니처라고 불립니다)을 특정해, 오퍼레이터에게 경고하는 것으로 실현됩니다.접속을 종료하는 시스템을 침입 방지 시스템이라고 하며 애플리케이션[6]방화벽과 같이 액세스 제어를 수행합니다.

침입 탐지 범주

IDS 는, 검출이 행해지는 장소(네트워크 또는 호스트) 또는 채용되고 있는 검출 방법(시그니처 베이스 또는 이상 베이스)[7]에 의해서 분류할 수 있습니다.

분석된 활동

네트워크 침입 탐지 시스템

Network Intrusion Detection System(NIDS; 네트워크침입검출시스템)은 네트워크상의 모든 디바이스에서 송수신되는 트래픽을 감시하기 위해 네트워크 [8]내의 전략적인 지점에 배치됩니다.서브넷 전체에서 통과 트래픽을 분석하여 서브넷을 통과하는 트래픽을 기존의 공격 라이브러리에 대조합니다.공격이 식별되거나 이상 동작이 감지되면 관리자에게 경보를 전송할 수 있습니다.NIDS의 예로는 방화벽이 있는 서브넷에 NIDS를 설치하여 누군가가 방화벽에 침입하려고 하는지 여부를 확인할 수 있습니다.이상적으로는 모든 착신 및 발신 트래픽을 스캔하지만, 스캔 하면 네트워크 전체의 속도가 저하되는 병목 현상이 발생할 수 있습니다.OPNET 및 NetSim은 네트워크 침입 탐지 시스템을 시뮬레이션하기 위해 일반적으로 사용되는 도구입니다.또한 NID 시스템은 유사한 패킷의 시그니처를 링크하여 NID 내의 레코드에 일치하는 시그니처를 가진 유해한 검출 패킷을 폐기하는 기능도 있습니다.시스템 인터랙티비티 속성에 따라 NIDS 설계를 분류할 때는 온라인 NIDS와 오프라인 NIDS의 2종류가 있습니다.각각 인라인 모드와 탭모드라고 불립니다.온라인 NIDS는 네트워크를 실시간으로 처리합니다.이더넷 패킷을 분석하여 몇 가지 규칙을 적용하여 공격 여부를 판단합니다.오프라인 NIDS는 저장된 데이터를 처리하여 몇 가지 프로세스를 통해 공격 여부를 판단합니다.

또한 NIDS를 다른 기술과 결합하여 탐지 및 예측 속도를 높일 수 있습니다.인공 뉴럴 네트워크 기반 IDS는 INS IDS가 침입 [9]패턴을 보다 효율적으로 인식할 수 있는 자기 조직 구조로 인해 대량의 데이터를 스마트하게 분석할 수 있습니다.뉴럴 네트워크는 IDS가 실수로부터 학습함으로써 공격을 예측하는 데 도움이 됩니다.IN IDS는 2개의 레이어를 기반으로 한 조기 경고 시스템을 개발하는 데 도움이 됩니다.첫 번째 레이어는 단일 값을 받아들이고 두 번째 레이어는 첫 번째 레이어의 출력을 입력으로 받아들입니다.주기가 반복되어 시스템이 네트워크 [10]내의 새로운 예기치 않은 패턴을 자동으로 인식할 수 있습니다.이 시스템은 DOS, Probe, Remote-to-Local, User-to-root [11]등 4개 카테고리로 나눠 24개 네트워크 공격의 조사 결과를 바탕으로 평균 99.9%의 탐지율과 분류율을 얻을 수 있다.

호스트 침입 탐지 시스템

Host Intrusion Detection System(HIDS; 호스트 침입 탐지 시스템)은 네트워크상의 개별 호스트 또는 디바이스에서 실행됩니다.HIDS 는, 디바이스로부터의 착신 및 발신 패킷만을 감시해, 의심스러운 액티비티가 검출되었을 경우, 유저 또는 관리자에게 경고합니다.기존 시스템 파일의 스냅샷을 생성하여 이전 스냅샷과 일치시킵니다.중요한 시스템 파일이 변경 또는 삭제된 경우 관리자에게 경고가 전송되어 조사됩니다.HIDS 의 사용 예는,[12][13] 설정을 변경할 것으로 예상되지 않는 미션 크리티컬 머신에서 확인할 수 있습니다.

검출 방법

시그니처 기반 IDS는 네트워크트래픽의 바이트시퀀스나 [14]악성코드에 의해 사용되는 기존의 악의적인 명령시퀀스 등 특정 패턴을 검색하여 공격을 검출하는 것입니다.이 용어는 안티바이러스소프트웨어에서 유래한 것으로, 이러한 검출 패턴을 시그니처라고 부릅니다.시그니처 베이스의 IDS는 기존의 공격을 간단하게 검출할 수 있습니다만, 패턴을 사용할 [15]수 없는 새로운 공격을 검출하는 것은 어렵습니다.

시그니처 베이스의 IDS에서는, 벤더에 의해서 모든 제품에 대해서 시그니처가 릴리스 됩니다.시그니처에 의한 IDS의 정시 갱신이 중요한 측면입니다.

이상 베이스

이상 기반 침입 탐지 시스템은 주로 알려지지 않은 공격을 탐지하기 위해 도입되었습니다. 부분적으로 악성 프로그램의 빠른 개발 때문입니다.기본적인 접근법은 기계 학습을 사용하여 신뢰할 수 있는 활동 모델을 만들고 이 모델과 새로운 동작을 비교하는 것입니다.이러한 모델은 애플리케이션 및 하드웨어 구성에 따라 훈련할 수 있기 때문에 머신러닝 기반 방식은 기존의 시그니처 기반 IDS에 비해 일반화된 특성이 우수합니다.이 방법을 사용하면 이전에 알려지지 않은 공격의 검출이 가능하지만, 폴스 포지티브가 발생할 수 있습니다.즉, 이전에 알려지지 않은 정당한 액티비티는 악의적인 것으로 분류될 수도 있습니다.기존 IDS의 대부분은 검출 프로세스 중에 시간이 걸려 IDS의 퍼포먼스가 저하됩니다.효율적인 기능 선택 알고리즘에 의해 검출에 사용되는 분류 프로세스의 [16]신뢰성이 향상됩니다.

Gartner에서는 이상 기반 침입 탐지 시스템이라고 할 수 있는 새로운 유형의 시스템을 UEBA([17]사용자 및 엔티티 행동 분석)(사용자 행동 분석 범주의 진화)[18] 및 네트워크 트래픽 분석(NTA)으로 보고 있습니다.특히 NTA는 악의적인 내부자뿐만 아니라 사용자 머신이나 계정을 손상시킨 표적 외부 공격도 처리합니다.Gartner는 일부 조직이 기존의 [19]IDS보다 NTA를 선택했다고 지적했습니다.

침입 방지

일부 시스템은 침입 시도를 중지하려고 할 수 있지만, 이는 모니터링 시스템에 필요하지도 않고 예상하지도 않습니다.침입 탐지 및 방지 시스템(IDPS)은 주로 발생할 수 있는 인시던트를 식별하고 해당 인시던트에 대한 정보를 기록하고 시도를 보고하는 데 중점을 두고 있습니다.또한 조직은 보안 정책의 문제 특정, 기존 위협 문서 작성, 보안 정책 위반 방지 등 다른 목적으로 IDPS를 사용합니다.IDPS는 거의 모든 [20]조직의 보안 인프라스트럭처에 필수적으로 추가되고 있습니다.

IDPS는 일반적으로 관찰된 이벤트와 관련된 정보를 기록하고 중요한 관찰된 이벤트를 보안 관리자에게 통지하고 보고서를 생성합니다.많은 IDPS는 검출된 위협의 성공을 저지하는 것으로도 대응할 수 있습니다.IDPS는 공격을 중지하거나 보안 환경을 변경하거나(예: 방화벽 재구성) 공격의 [20]내용을 변경하는 등 여러 가지 대응 기술을 사용합니다.

침입 방지 시스템(IPS)은 침입 탐지방지 시스템(IDPS)이라고도 하며 네트워크 또는 시스템의 액티비티를 감시하는 네트워크 보안 어플라이언스입니다.침입 방지 시스템의 주요 기능은 악의적인 활동을 식별하고, 이 활동에 대한 정보를 기록하고, 보고하고,[21] 차단하거나 중지하는 것입니다.

침입 방지 시스템은 네트워크 트래픽 및/또는 시스템 액티비티를 감시하여 악의적인 액티비티를 감시하기 때문에 침입 탐지 시스템의 확장으로 간주됩니다.주요 차이점은 침입 탐지 시스템과 달리 침입 방지 시스템이 직렬로 배치되어 [22]: 273 [23]: 289 탐지되는 침입을 능동적으로 방지하거나 차단할 수 있다는 것입니다.IPS 는, 알람의 송신, 검출된 악의 있는 패킷의 폐기, 접속의 리셋, 또는 문제의 IP [24]주소로부터의 트래픽의 블록등의 액션을 실행할 수 있습니다.IPS는 Cyclic Redundancy Check(CRC; 순회용장검사) 오류 수정, 패킷스트림 조각 모음, TCP 시퀀싱 문제 완화 및 불필요한 전송 및 네트워크 계층 [22]: 278 [25]옵션 청소도 수행할 수 있습니다.

분류

침입 방지 시스템은 4가지 [21][26]유형으로 분류할 수 있습니다.

  1. 네트워크 기반 침입 방지 시스템(NIPS): 프로토콜 액티비티를 분석하여 네트워크 전체의 의심스러운 트래픽을 감시합니다.
  2. 무선 침입 방지 시스템(WIPS): 무선 네트워크 프로토콜을 분석하여 의심스러운 트래픽이 없는지 무선 네트워크를 감시합니다.
  3. Network Behavior Analysis(NBA; 네트워크 동작 분석): 네트워크 트래픽을 검사하여 분산 서비스 거부(DDoS) 공격, 특정 형식의 멀웨어 및 정책 위반 등 비정상적인 트래픽 흐름을 생성하는 위협을 식별합니다.
  4. 호스트 기반 침입 방지 시스템(HIPS): 설치된 소프트웨어 패키지. 단일 호스트에서 발생하는 이벤트를 분석하여 의심스러운 활동을 감시합니다.

검출 방법

대부분의 침입 방지 시스템은 서명 기반, 통계 이상 기반 및 상태 저장 프로토콜 [23]: 301 [27]분석의 세 가지 탐지 방법 중 하나를 사용합니다.

  1. 시그니처 베이스 검출: 시그니처 베이스의 IDS 는, 네트워크내의 패킷을 모니터 해, 시그니처라고 불리는 사전 설정 및 사전 결정의 공격 패턴과 비교합니다.
  2. 통계 이상 기반 검출:이상 기반의 IDS는 네트워크트래픽을 감시하고 확립된 기준선과 비교합니다.이 기준선에 따라 해당 네트워크에서 "정상"인 것, 즉 일반적으로 사용되는 대역폭의 종류와 프로토콜이 식별됩니다.그러나 기준선이 지능적으로 [28]구성되지 않은 경우 대역폭을 올바르게 사용하기 위해 False Positive 경보가 발생할 수 있습니다.Matthews 상관계수를 사용하여 부정한 네트워크트래픽을 식별하는 앙상블 모델은 99.73%의 [29]정확도를 얻었습니다.
  3. 상태 저장 프로토콜 분석 탐지:이 방법은 관찰된 이벤트를 "양성 활동의 일반적으로 허용되는 정의의 미리 결정된 프로파일"[23]과 비교하여 프로토콜 상태의 편차를 식별합니다.

배치

침입 감지 시스템의 올바른 배치는 매우 중요하며 네트워크에 따라 달라집니다.가장 일반적인 배치는 방화벽의 배후에 있는 네트워크 가장자리입니다.이 방법에 의해, IDS 는 네트워크에 들어가는 트래픽의 고가시성을 실현해, 네트워크상의 유저간에 트래픽을 수신하지 않게 됩니다.네트워크의 엣지는 네트워크가 엑스트라넷에 접속하는 지점입니다.더 많은 리소스를 사용할 수 있는 경우 달성할 수 있는 또 다른 방법은 기술자가 첫 번째 IDS를 가장 가시성이 높은 지점에 배치하고 리소스 가용성에 따라 다음 가장 높은 지점에 배치하여 네트워크의 모든 지점이 [30]커버될 때까지 프로세스를 계속하는 전략입니다.

IDS가 네트워크 방화벽 너머에 배치되어 있는 경우, 그 주된 목적은 인터넷으로부터의 노이즈로부터 보호하는 것입니다만, 보다 중요한 것은 포트 스캔이나 네트워크 매퍼등의 일반적인 공격으로부터 보호하는 것입니다.이 위치에 있는 IDS는 OSI 모델의 레이어4 ~ 7을 감시하고 시그니처 기반입니다.이는 방화벽을 통과한 네트워크에 대한 실제 위반을 보여주는 것이 아니라 위반을 시도하면 잘못된 긍정의 양이 줄어들기 때문에 매우 유용한 방법입니다.이 위치의 IDS는 네트워크에 [31]대한 공격을 정상적으로 검출하는 데 걸리는 시간을 단축하는 데도 도움이 됩니다.

고도의 기능을 갖춘 IDS가 네트워크에 침입하는 고도의 공격을 차단하기 위해 방화벽과 통합될 수 있습니다.확장 기능의 예로는 라우팅 레벨 및 브리징모드의 여러 보안 콘텍스트가 있습니다.결과적으로 비용과 운영의 [31]복잡성을 줄일 수 있습니다.

IDS 배치의 다른 옵션은 실제 네트워크 내입니다.이것에 의해, 네트워크내의 공격이나 의심스러운 액티비티가 밝혀집니다.네트워크내의 시큐러티를 무시하면, 유저가 시큐러티상의 리스크를 발생시키거나, 네트워크에 침입한 공격자가 자유롭게 돌아다닐 수 있게 됩니다.강력한 인트라넷 보안으로 인해 네트워크 내의 해커도 조작을 통해 [31]권한을 확대하기가 어렵습니다.

제한 사항

  • 노이즈는 침입 탐지 시스템의 효과를 심각하게 제한할 수 있습니다.소프트웨어 버그, 파손된 DNS 데이터 및 탈출한 로컬패킷으로 인해 불량 패킷이 생성되면 false-alarm [32]rate가 크게 높아질 수 있습니다.
  • 실제 공격의 수가 거짓 경보의 수를 크게 밑도는 것은 드문 일이 아닙니다.실제 공격의 수가 거짓 경보의 수를 크게 밑돌기 때문에 실제 공격은 종종 놓치고 [32][needs update]무시됩니다.
  • 대부분의 공격은 일반적으로 오래된 특정 버전의 소프트웨어를 대상으로 합니다.서명의 급변하는 도서관 위협을 완화하기 위해 필요하다.시대에 뒤떨어진 서명 데이터베이스 IDS더 새로운 전략에 견뎌 낼 수 있다.[32]
  • 시그니처 베이스의 IDS에서는, 새로운 위협 검출과 그 시그니처가 IDS 에 적용되는 사이에 지연이 발생합니다.이 지연 시간 동안 IDS는 [28]위협을 식별할 수 없습니다.
  • 이는 취약한 식별 및 인증 메커니즘이나 네트워크 프로토콜의 약점을 보완할 수 없습니다.공격자가 취약한 인증 메커니즘으로 인해 접근권을 얻었을 경우 IDS는 공격자의 부정행위를 막을 수 없습니다.
  • 암호화된 패킷은 대부분의 침입 탐지 장치에서 처리되지 않습니다.따라서 암호화된 패킷에 의해 보다 중대한 네트워크 침입이 발생할 때까지 검출되지 않은 네트워크에 침입할 수 있습니다.
  • 침입 검출 소프트웨어는, 네트워크에 송신되는 IP 패킷에 관련 붙여진 네트워크 주소에 근거해 정보를 제공합니다.이것은, IP 패킷에 포함되는 네트워크 주소가 정확한 경우에 도움이 됩니다.다만, IP 패킷에 포함되는 주소는 가짜 또는 스크램블 할 수 있습니다.
  • NIDS 시스템의 특성과 캡처 시 프로토콜을 분석해야 하는 필요성으로 인해 NIDS 시스템은 네트워크 호스트가 취약할 수 있는 프로토콜 기반 공격에 취약할 수 있습니다.유효하지 않은 데이터 및 TCP/IP 스택공격으로 인해 NIDS가 [33]크래시 될 수 있습니다.
  • 클라우드 컴퓨팅에 대한 보안 대책에서는 사용자의 사생활 요구의 [34]변화를 고려하지 않습니다.사용자가 회사인지 [34]개인인지에 관계없이 모든 사용자에게 동일한 보안 메커니즘을 제공합니다.

회피 방법

공격자가 사용하는 수법은 여러 가지가 있으며, IDS를 회피하기 위해 취할 수 있는 '간단한' 방법으로 다음과 같은 것이 있습니다.

  • 단편화: 단편화된 패킷을 전송함으로써 공격자는 레이더에 노출되어 탐지 시스템의 공격 시그니처 탐지 기능을 쉽게 무시할 수 있습니다.
  • 디폴트 회피:프로토콜에 의해 사용되는 TCP 포트가 전송되는 프로토콜에 항상 표시를 제공하는 것은 아닙니다.예를 들어, IDS는 포토 12345 로 트로이 목마를 검출할 가능성이 있습니다.공격자가 다른 포트를 사용하도록 재설정했을 경우 IDS는 트로이 목마의 존재를 검출하지 못할 수 있습니다.
  • 조정된 저대역폭 공격: 다수의 공격자(또는 에이전트) 간에 스캔을 조정하고 서로 다른 포트 또는 호스트를 서로 다른 공격자에게 할당하는 것은 IDS가 캡처한 패킷의 상관관계를 분석하여 네트워크 스캔이 진행 중임을 추정하기 어렵게 합니다.
  • 주소 스푸핑/프로파일링: 공격자는 보안 보호가 불충분하거나 잘못 설정된 프록시 서버를 사용하여 공격을 바운스함으로써 보안 관리자가 공격의 원인을 판별하는 데 어려움을 가중시킬 수 있습니다.송신원이 서버에 의해서 스푸핑 되어 바운스 되어 있는 경우, IDS 는 공격의 송신원을 검출하는 것을 매우 어려워집니다.
  • 패턴 변경 회피: IDS는 일반적으로 공격을 검출하기 위해 '패턴 매칭'에 의존합니다.공격에 사용되는 데이터를 약간 변경함으로써 검출을 회피할 수 있을 것이다.예를 들어 Internet Message Access Protocol(IMAP) 서버는 버퍼 오버플로에 취약할 수 있으며 IDS는 10개의 일반적인 공격툴의 공격시그니처를 검출할 수 있습니다툴이 송신하는 페이로드를 변경해, IDS 가 예상하는 데이터와 일치하지 않게 하는 것으로, 검출을 회피할 수 있습니다.

발전

최초의 예비 IDS 개념은 1980년 National Security Agency의 James Anderson에 의해 설명되었으며 관리자가 감사 추적을 [35]검토하는 데 도움이 되는 도구 세트로 구성되어 있습니다.사용자 액세스 로그, 파일액세스 로그 및 시스템이벤트 로그는 감사 추적의 예입니다.

Fred Cohen은 1987년에 모든 경우에 침입을 탐지하는 것은 불가능하며,[36] 침입을 탐지하는 데 필요한 리소스는 사용량에 따라 증가한다고 지적했습니다.

도로시 E. 데닝, 피터 G의 도움을 받았어요 Neumann은 1986년에 IDS 모델을 발표하여 오늘날 [37]많은 시스템의 기반이 되었습니다.그녀의 모델에서는 이상 검출에 통계 정보를 사용하고, SRI International의 초기 IDS인 Intrusion Detection Expert System(IDES)을 개발했습니다.IDES는 Sun 워크스테이션에서 실행되어 사용자와 네트워크 레벨의 데이터를 [38]모두 고려할 수 있었습니다.IDES는 규칙 기반의 Expert System을 사용하여 기존 유형의 침입을 탐지하고 사용자, 호스트 시스템 및 타깃 시스템의 프로파일을 기반으로 한 통계적 이상 검출 컴포넌트를 사용하는 이중 접근 방식을 사용했습니다."IDES: 침입자를 탐지하는 지능형 시스템"의 저자인 테레사 F.Lunt, 인공 신경망을 세 번째 요소로 추가할 것을 제안했습니다.그녀는 세 가지 요소 모두 해결사에게 보고할 수 있다고 말했다.SRI는 1993년 차세대 침입 탐지 전문가 시스템(NIDES)[39]을 통해 IDES를 추적했습니다.

P-BEST와 Lisp를 사용하는 전문가 시스템인 MIDAS(Multics Intrusion Detection and Alerting System)는 데닝과 노이만의 연구를 바탕으로 1988년에 [40]개발되었습니다.또한 Haystack은 감사 [41]추적을 줄이기 위해 통계를 사용하여 그 해에 개발되었습니다.

1986년 National Security Agency는 Rebecca Bace에 의해 IDS 연구 이전 프로그램을 시작했습니다.Bace는 이후 2000년에 [42]침입 탐지라는 주제에 관한 중요한 텍스트를 출판했습니다.

W&S(Wise & Sense)는 1989년 로스앨러모스 [43]국립연구소에서 개발된 통계 기반 이상 검출기이다.W&S는 통계 분석을 바탕으로 규칙을 만들고, 그 규칙을 이상 검출에 사용했습니다.

1990년에는 VAX 3500 [44]컴퓨터에서 Common Lisp의 순차적 사용자 패턴에 대한 유도 학습을 사용하여 시간 기반 유도 머신(TIM)이 이상 검출을 수행했습니다.Network Security Monitor(NSM; 네트워크보안모니터)는 Sun-3/50 [45]워크스테이션에서 이상검출을 위한 액세스 매트릭스에 대해 마스킹을 실행했습니다.ISOA(Information Security Officer's Assistant)는 통계, 프로파일 체커 및 전문가 [46]시스템을 포함한 다양한 전략을 고려한 1990년 프로토타입입니다.AT&T Bell Labs의 Computer Watch는 감사 데이터 감소 및 침입 [47]탐지에 통계와 규칙을 사용했습니다.

그 후 1991년 캘리포니아 대학 데이비스 연구진은 전문가 [48]시스템인 DIDS(Distributed Intrusion Detection System) 시제품을 개발했습니다.Network Anomaly Detection and Intrusion Reporter(NADIR)도 1991년에 Los Alamos 국립연구소의 Integrated Computing Network(ICN; 통합 컴퓨팅 네트워크)에서 개발된 시제품 IDS로 Denning과 Lunt의 작업에 [49]큰 영향을 받았습니다.NADIR은 통계 기반 이상 검출기와 전문가 시스템을 사용했다.

Lawrence Berkeley 국립 연구소는 1998년에 libpcap 데이터에서 패킷 분석을 위해 자체 [50]규칙 언어를 사용한 Bro를 발표했습니다.1999년의 Network Flight Recorder(NFR; 네트워크 플라이트 레코더)도 libpcap을 [51]사용했습니다.

APE는 1998년 11월에 libpcap을 사용하여 패킷스니퍼로서 개발되어 1개월 후에 Snort로 이름이 변경되었습니다.이후 Snort는 300,000명 이상의 활성 [52]사용자를 보유한 세계 최대 규모의 중고 IDS/IPS 시스템이 되었습니다.TZSP 프로토콜을 사용하여 로컬 시스템과 원격 캡처 지점을 모두 모니터링할 수 있습니다.

2001년 ADAM(Audit Data Analysis and Mining) IDS는 tcpdump를 사용하여 [53]분류용 규칙 프로파일을 구축했습니다.2003년 Yongguang Zhang과 Wenke Lee는 모바일 [54]노드가 있는 네트워크에서 IDS의 중요성을 주장했습니다.

2015년에 Viegas와 그의 동료들은 사물 인터넷(IoT) 애플리케이션용 SoC(System-on-Chip)를 목표로 이상 기반 침입 감지 엔진을 제안했습니다.이 제안서는 이상검출을 위해 머신러닝을 적용하여 ATOM CPU에서의 Decision Tree, Naigive-Bayes 및 k-Nearest Neighbors 분류기 구현 및 [56][57]FPGA에서의 하드웨어 친화적 구현에 에너지 효율을 제공합니다.문헌에서, 이것은 소프트웨어와 하드웨어에서 각 분류기를 동등하게 구현하고 두 가지 모두에 대한 에너지 소비량을 측정하는 첫 번째 작업이었다.또, 네트워크 패킷의 분류에 사용되는 각 기능을 추출하기 위한 에너지 소비량을 최초로 측정해,[58] 소프트웨어와 하드웨어에 실장했습니다.

참고 항목

레퍼런스

  1. ^ "What is an Intrusion Detection System (IDS)? Check Point Software".
  2. ^ Martellini, Maurizio; Malizia, Andrea (2017-10-30). Cyber and Chemical, Biological, Radiological, Nuclear, Explosives Challenges: Threats and Counter Efforts. Springer. ISBN 9783319621081.
  3. ^ Axelsson, S(2000)."침입 탐지 시스템: 조사분류" (2018년 5월 21일 회수)
  4. ^ Newman, Robert (2009-06-23). Computer Security: Protecting Digital Resources. Jones & Bartlett Learning. ISBN 9780763759940.
  5. ^ Mohammed, Mohssen; Rehman, Habib-ur (2015-12-02). Honeypots and Routers: Collecting Internet Attacks. CRC Press. ISBN 9781498702201.
  6. ^ Vacca, John R. (2013-08-26). Network and System Security. Elsevier. ISBN 9780124166950.
  7. ^ Vacca, John R. (2009-05-04). Computer and Information Security Handbook. Morgan Kaufmann. ISBN 9780080921945.
  8. ^ Gurley., Bace, Rebecca (2001). Intrusion detection systems. [U.S. Dept. of Commerce, Technology Administration, National Institute of Standards and Technology]. OCLC 70689163.
  9. ^ Garzia, Fabio; Lombardi, Mara; Ramalingam, Soodamani (2017). An integrated internet of everything — Genetic algorithms controller — Artificial neural networks framework for security/safety systems management and support. 2017 International Carnahan Conference on Security Technology (ICCST). IEEE. doi:10.1109/ccst.2017.8167863. ISBN 9781538615850. S2CID 19805812.
  10. ^ Vilela, Douglas W. F. L.; Lotufo, Anna Diva P.; Santos, Carlos R. (2018). Fuzzy ARTMAP Neural Network IDS Evaluation applied for real IEEE 802.11w data base. 2018 International Joint Conference on Neural Networks (IJCNN). IEEE. doi:10.1109/ijcnn.2018.8489217. ISBN 9781509060146. S2CID 52987664.
  11. ^ Dias, L. P.; Cerqueira, J. J. F.; Assis, K. D. R.; Almeida, R. C. (2017). Using artificial neural network in intrusion detection systems to computer networks. 2017 9th Computer Science and Electronic Engineering (CEEC). IEEE. doi:10.1109/ceec.2017.8101615. ISBN 9781538630075. S2CID 24107983.
  12. ^ Inc, IDG Network World (2003-09-15). Network World. IDG Network World Inc.
  13. ^ Groom, Frank M.; Groom, Kevin; Jones, Stephan S. (2016-08-19). Network and Data Security for Non-Engineers. CRC Press. ISBN 9781315350219.
  14. ^ Brandon Lokesak (December 4, 2008). "A Comparison Between Signature Based and Anomaly Based Intrusion Detection Systems" (PPT). www.iup.edu.
  15. ^ Douligeris, Christos; Serpanos, Dimitrios N. (2007-02-09). Network Security: Current Status and Future Directions. John Wiley & Sons. ISBN 9780470099735.
  16. ^ Rowayda, A. Sadek; M Sami, Soliman; Hagar, S Elsayed (November 2013). "Effective anomaly intrusion detection system based on neural network with indicator variable and rough set reduction". International Journal of Computer Science Issues (IJCSI). 10 (6).
  17. ^ "Gartner report: Market Guide for User and Entity Behavior Analytics". September 2015.
  18. ^ "Gartner: Hype Cycle for Infrastructure Protection, 2016".
  19. ^ "Gartner: Defining Intrusion Detection and Prevention Systems". Retrieved 2016-09-20.
  20. ^ a b Scarfone, Karen; Mell, Peter (February 2007). "Guide to Intrusion Detection and Prevention Systems (IDPS)" (PDF). Computer Security Resource Center (800–94). Archived from the original (PDF) on 1 June 2010. Retrieved 1 January 2010.
  21. ^ a b Scarfone, K. A.; Mell, P. M. (February 2007). "NIST – Guide to Intrusion Detection and Prevention Systems (IDPS)" (PDF). doi:10.6028/NIST.SP.800-94. Retrieved 2010-06-25. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  22. ^ a b Robert C. Newman (19 February 2009). Computer Security: Protecting Digital Resources. Jones & Bartlett Learning. ISBN 978-0-7637-5994-0. Retrieved 25 June 2010.
  23. ^ a b c Michael E. Whitman; Herbert J. Mattord (2009). Principles of Information Security. Cengage Learning EMEA. ISBN 978-1-4239-0177-8. Retrieved 25 June 2010.
  24. ^ Tim Boyles (2010). CCNA Security Study Guide: Exam 640-553. John Wiley and Sons. p. 249. ISBN 978-0-470-52767-2. Retrieved 29 June 2010.
  25. ^ Harold F. Tipton; Micki Krause (2007). Information Security Management Handbook. CRC Press. p. 1000. ISBN 978-1-4200-1358-0. Retrieved 29 June 2010.
  26. ^ John R. Vacca (2010). Managing Information Security. Syngress. p. 137. ISBN 978-1-59749-533-2. Retrieved 29 June 2010.
  27. ^ Engin Kirda; Somesh Jha; Davide Balzarotti (2009). Recent Advances in Intrusion Detection: 12th International Symposium, RAID 2009, Saint-Malo, France, September 23–25, 2009, Proceedings. Springer. p. 162. ISBN 978-3-642-04341-3. Retrieved 29 June 2010.
  28. ^ a b nitin.; Mattord, verma (2008). Principles of Information Security. Course Technology. pp. 290–301. ISBN 978-1-4239-0177-8.
  29. ^ Nti, Isaac Kofi; Nyarko-Boateng, Owusu; Adekoya, Adebayo Felix; Arjun, R (December 2021). "Network Intrusion Detection with StackNet: A phi coefficient Based Weak Learner Selection Approach". 2021 22nd International Arab Conference on Information Technology (ACIT): 1–11. doi:10.1109/ACIT53391.2021.9677338. ISBN 978-1-6654-1995-6. S2CID 246039483.
  30. ^ "IDS Best Practices". cybersecurity.att.com. Retrieved 2020-06-26.
  31. ^ a b c Richardson, Stephen (2020-02-24). "IDS Placement - CCIE Security". Cisco Certified Expert. Retrieved 2020-06-26.
  32. ^ a b c Anderson, Ross (2001). Security Engineering: A Guide to Building Dependable Distributed Systems. New York: John Wiley & Sons. pp. 387–388. ISBN 978-0-471-38922-4.
  33. ^ http://www.giac.org/paper/gsec/235/limitations-network-intrusion-detection/100739[베어 URL PDF]
  34. ^ a b Hawedi, Mohamed; Talhi, Chamseddine; Boucheneb, Hanifa (2018-09-01). "Multi-tenant intrusion detection system for public cloud (MTIDS)". The Journal of Supercomputing. 74 (10): 5199–5230. doi:10.1007/s11227-018-2572-6. ISSN 0920-8542. S2CID 52272540.
  35. ^ Anderson, James P. (1980-04-15). "Computer Security Threat Monitoring and Surveillance" (PDF). csrc.nist.gov. Washington, PA, James P. Anderson Co. Archived (PDF) from the original on 2019-05-14. Retrieved 2021-10-12.
  36. ^ David M. Chess; Steve R. White (2000). "An Undetectable Computer Virus". Proceedings of Virus Bulletin Conference. CiteSeerX 10.1.1.25.1508.
  37. ^ Denning, Dorothy E., "침입 감지 모델", 제7회 보안 및 프라이버시에 관한 IEEE 심포지엄 진행, 1986년 5월, 119-131페이지
  38. ^ Teresa F. Lunt, "IDES: 침입자를 탐지하는 인텔리전트 시스템", 컴퓨터 보안 심포지엄 진행위협과 대응책; 이탈리아 로마, 1990년 11월 22-23일, 110-121페이지.
  39. ^ Lunt, Teresa F., "컴퓨터 시스템의 침입자 검출", 1993년 SRI International 감사 및 컴퓨터 테크놀로지 컨퍼런스
  40. ^ Sebring, Michael M. 및 Whitehurst, R. Alan, "Expert Systems in Intrusion Detection: A Case Study", 1988년 10월 제11회 전국 컴퓨터 보안 컨퍼런스
  41. ^ Smaha, Stephen E. "헤이스택:침입 탐지 시스템," 제4회 항공 우주 컴퓨터 보안 애플리케이션 컨퍼런스, FL, 올랜도, 1988년 12월
  42. ^ McGraw, Gary (May 2007). "Silver Bullet Talks with Becky Bace" (PDF). IEEE Security & Privacy Magazine. 5 (3): 6–9. doi:10.1109/MSP.2007.70. Archived from the original (PDF) on 19 April 2017. Retrieved 18 April 2017.
  43. ^ H.S. Vaccaro.와 G.E. Lippins. "변칙적인 컴퓨터 세션 액티비티의 검출", 1989년 보안과 사생활에 관한 IEEE 심포지엄, 1989년 5월
  44. ^ Teng, Henry S., Chen, Kaihu 및 Lu, Stephen C-Y, "유도적으로 생성된 순차 패턴을 사용한 적응형 실시간 이상 검출", 1990년 IEEE 보안 및 사생활 심포지엄
  45. ^ Heberlein, L. Todd, Dias, Gihan V, Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff 및 Wolber, "네트워크 보안 모니터", 1990년 보안 및 사생활 조사 심포지엄, 오클랜드, CA, 296~304페이지
  46. ^ Winkeller, J.R., "A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks", 제13회 워싱턴 DC, National Computer Security Conference, 115~124, 1990 페이지
  47. ^ Dowell, Cheri 및 Ramstedt, Paul, "The ComputerWatch Data Reduction Tool", 제13회 미국 워싱턴 D.C., 1990년 미국 컴퓨터 보안 회의 진행
  48. ^ 스냅, 스티븐 R, 브렌타노, 제임스, 디아스, 기한 V, 고안, 테란스 L, 헤벌레인, L. 토드, 호, 첼린, 레빗, 칼 N., 무케르지, 비스와나트, 스마하, 스티븐 E, 티만스, 티만스.ence, 1991년 10월, 167~176페이지.
  49. ^ Jackson, Kathleen, DuBois, David H. 및 Stallings, Cathy A., 제14회 National Computing Security Conference, 1991년
  50. ^ Vern, Paxson, "Bro: 네트워크 침입자를 실시간으로 감지하는 시스템", 제7회 USENIX 보안 심포지엄, 텍사스 주 샌안토니오, 1998년
  51. ^ 아모로소, 에드워드 "침입 탐지:인터넷 감시, 상관관계, 트레이스백, 트랩, 응답'의 개요.넷북스, 뉴저지, 스파르타, 1999, ISBN 0-9666700-7-8
  52. ^ 콜렌버그, 토비(에드), 올더, 레이븐, 카터, 닥터 에버렛 F. (스킵) 주니어, 에슬러, 조엘, 포스터, 제임스 C., 존크만 마티, 라파엘, 푸어, 마이크, "Snort IDS and IPS Toolkit", 9-bness, 2007.
  53. ^ Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard 및 Wu, Ningning, "ADAM: 데이터 마이닝에 의한 침입 검출", 정보 보증 및 보안에 관한 IEE 워크숍의 진행, 2001년 6월 5~6일 뉴욕 주 웨스트 포인트
  54. ^ 모바일 무선 네트워크의 침입 검출 기술, ACM WINET 2003 <http://www.cc.gatech.edu/~wenke/winet03.pdf>
  55. ^ Viegas, E.; Santin, A. O.; Fran?a, A.; Jasinski, R.; Pedroni, V. A.; Oliveira, L. S. (2017-01-01). "Towards an Energy-Efficient Anomaly-Based Intrusion Detection Engine for Embedded Systems". IEEE Transactions on Computers. 66 (1): 163–177. doi:10.1109/TC.2016.2560839. ISSN 0018-9340. S2CID 20595406.
  56. ^ França, A. L.; Jasinski, R.; Cemin, P.; Pedroni, V. A.; Santin, A. O. (2015-05-01). The energy cost of network security: A hardware vs. software comparison. 2015 IEEE International Symposium on Circuits and Systems (ISCAS). pp. 81–84. doi:10.1109/ISCAS.2015.7168575. ISBN 978-1-4799-8391-9. S2CID 6590312.
  57. ^ França, A. L. P. d; Jasinski, R. P.; Pedroni, V. A.; Santin, A. O. (2014-07-01). Moving Network Protection from Software to Hardware: An Energy Efficiency Analysis. 2014 IEEE Computer Society Annual Symposium on VLSI. pp. 456–461. doi:10.1109/ISVLSI.2014.89. ISBN 978-1-4799-3765-3. S2CID 12284444.
  58. ^ "Towards an Energy-Efficient Anomaly-Based Intrusion Detection Engine for Embedded Systems" (PDF). SecPLab.

Public Domain이 문서에는 미국 국립표준기술연구소(National Institute of Standards and Technology)의 퍼블릭 도메인 자료가 포함되어 있습니다.

추가 정보

외부 링크