IDS(침입 탐지 시스템)는 인바운드 및 아웃바운드 네트워크 트래픽을 모니터링하고 패턴 변경에 대한 이벤트를 지속적으로 분석하고 비정상적인 동작을 식별하면 관리자에게 경고하는 앱 또는 장치입니다. 관리자는 경보를 검토하고 위협을 삭제하기 위한 조치를 취할 수 있습니다.
예를 들어, IDS는 네트워크 트래픽이 전달하는 데이터를 검사하여 알려진 맬웨어 또는 기타 악성 콘텐츠가 포함되어 있는지 확인할 수 있습니다. 이러한 유형의 위협을 식별할 수 있는 경우 보안 팀에 경고를 보내 조사하고 수정할 수 있도록 합니다. 팀이 경보를 수신하기 때문에 시스템을 장악하는 공격을 피하기 위해 신속하게 조치를 취해야 합니다.
네트워크 기반 침입 탐지 시스템(NIDS)에서 센서는 모니터링을 위해 네트워크의 초크 지점에 배치되며, 종종 DMZ(비무장 지대) 또는 네트워크 경계에 있습니다. 센서는 일부 네트워크 트래픽을 캡처하고 악성 트래픽에 대한 전용 패킷의 내용을 분석합니다.
시스템에서 PIDS 및 APIDS는 전송 및 프로토콜 불법 또는 부적절한 트래픽 또는 언어 구성(예:SQL)을 모니터링하는 데 사용됩니다. 호스트 기반 시스템에서 센서에는 일반적으로 센서가 설치된 호스트의 일부 활동을 모니터링하는 소프트웨어 에이전트가 포함됩니다. 이 두 시스템의 하이브리드도 발생합니다.
-
네트워크 침입 탐지 시스템은 네트워크 트래픽을 파악하여 침입을 식별하고 여러 호스트를 모니터링하는 독립적인 플랫폼입니다. 네트워크 침입 탐지 시스템은 허브, 포트 미러링을 위해 구성된 네트워크 스위치 또는 네트워크 탭에 연결하여 네트워크 트래픽에 액세스합니다. NIDsis Snort의 인스턴스입니다.
-
프로토콜 기반 침입 탐지 시스템(PIDS)은 일반적으로 서버의 프런트 엔드에 앉아 연결된 장치(사용자/PC 또는 시스템) 간의 통신 프로토콜을 모니터링 및 분석할 수 있는 시스템 또는 에이전트를 포함합니다.
웹 서버의 경우 일반적으로 HTTPS 프로토콜 스트림을 모니터링하고 보호하려는 웹 서버에 해당하는 HTTP 프로토콜을 이해할 수 있습니다. HTTPS가 사용되는 경우 이 시스템은 HTTPS가 암호화되지 않은 곳과 웹 프레젠테이션 계층에 들어가기 바로 전에 "shim" 또는 인터페이스에 상주해야 합니다.
-
APIDS(Application Protocol-based Intrusion Detection System)에는 일반적으로 서버 세트 내에 위치하여 애플리케이션 특정 프로토콜에 대한 통신을 모니터링 및 분석할 수 있는 시스템 또는 에이전트가 포함됩니다. 데이터베이스가 있는 웹 서버에서 이것은 데이터베이스와 함께 수행하는 미들웨어/비즈니스 로그인에 특정한 SQL 프로토콜을 모니터링할 수 있습니다.
-
HIDS(호스트 기반 침입 탐지 시스템)에는 시스템 호출, 소프트웨어 로그, 파일 시스템 수정(바이너리, 암호 파일, 기능 데이터베이스) 및 여러 호스트 활동 및 상태를 분석하여 침입을 식별하는 호스트의 에이전트가 포함됩니다. HIDS의 인스턴스는 OSSEC입니다.
-
하이브리드 침입 탐지 시스템은 여러 접근 방식을 결합합니다. 호스트 에이전트 데이터는 네트워크 데이터와 결합되어 네트워크의 포괄적인 모양을 형성합니다. Hybrid IDS의 인스턴스가 Prelude입니다.