컴퓨터 시스템과 정보의 보안은 항상 위험에 노출되어 있습니다. 웹의 광범위한 성장과 네트워크 침입 및 공격을 위한 도구 및 트릭의 접근성 증가로 인해 침입 탐지가 네트워크 관리의 중요한 요소가 되었습니다. 침입은 네트워크 리소스(사용자 계정, 파일 시스템, 시스템 커널 등 포함)의 무결성, 기밀성 또는 가용성을 위협하는 일련의 이벤트로 나타낼 수 있습니다.
일부 상업용 침입 탐지 시스템은 제한적이며 전체 솔루션을 지원하지 않습니다. 이러한 시스템은 일반적으로 오용 감지 접근 방식을 사용합니다. 오용 탐지는 서명으로 저장되는 알려진 침입 시나리오를 연결하는 프로그램 또는 사용자 행동의 디자인을 검색합니다.
이러한 손으로 코딩한 서명은 침입 접근 방식에 대한 광범위한 지식을 바탕으로 전문가가 열심히 지원합니다. 패턴 일치가 발견되면 알람이 구성된 이벤트를 알립니다. 휴먼 보안 분석가는 경보를 계산하여 시스템의 일부를 종료하거나, 관련 웹 서비스 제공업체에 의심스러운 트래픽을 경고하거나, 향후 참조를 위해 비정상적인 트래픽을 쉽게 확인하는 등 취해야 할 조치를 결정합니다.
거대하고 복잡한 네트워크에 대한 침입 탐지 시스템은 일반적으로 하루에 수천 또는 수백만 개의 경보를 생성하여 보안 분석가에게 압도적인 서비스를 정의합니다. 시스템은 정적이지 않기 때문에 새 소프트웨어 버전이 나타나거나 네트워크 구성의 변경 사항이 나타날 때마다 서명을 업그레이드해야 합니다. 제한 사항은 오용 감지가 서명을 연결하는 경우만 식별할 수 있다는 것입니다. 특히 새롭거나 이전에 알려지지 않은 침입 접근 방식을 감지할 수 없습니다.
새로운 침입은 이상 탐지 방법으로 탐지할 수 있습니다. 이상 탐지는 프로필에서 크게 벗어나는 새로운 패턴을 탐지할 수 있는 정상적인 네트워크 동작 모델(프로필이라고 함)을 구성합니다. 이러한 편차는 실제 침입을 정의하거나 단순히 프로필에 추가해야 하는 새로운 동작일 수 있습니다.
이상 탐지의 이점은 아직 관찰되지 않은 새로운 침입을 탐지할 수 있다는 것입니다. 일반적으로 인간 분석가는 실제 침입을 정의하는 것을 확인하기 위해 편차를 정리해야 합니다. 이상 징후의 정의 요소 이상 탐지의 이점은 아직 관찰되지 않은 새로운 침입을 탐지할 수 있다는 것입니다. 일반적으로 인간 분석가는 실제 침입을 정의하는 것을 확인하기 위해 편차를 정리해야 합니다. 이상 탐지의 정의 요소는 높은 가양성 비율입니다. 오용 감지를 위해 서명 세트에 삽입할 수 있는 새로운 침입 패턴이 있습니다.