IDS 탐지 방식 2가지
- Misuse Detection(오용 탐지)
- Knowledge base, signature base
- 알려진 공격 패턴(signature)에 대한 갱신 중요
- 새로운 패턴의 공격에 대해서는 탐지 불가
- Anomaly Detection(이상 탐지)
- 정상적이고 평균적인 상태를 기준으로 이를 벗어난 행위를 이상으로 탐지하는 방식
- 미탐률은 낮지만 정상 기준에 대한 임계치 설정이 어려워 오탐률이 높음
탐지 오류 2가지
- False Positive
- 공격행위가 아닌 것을 공격으로 탐지
- Positive는 탐지한 것을 의미. 탐지를 했는데 잘못됐다 = 오탐
- False Negative
- 공격행위를 탐지하지 못함
- Negative는 탐지하지 못한 것을 의미. 탐지하지 못해서 잘못됐다 = 미탐
※ 참고
알기사 정보보안기사 실기 교재
'정보보안기사&CISSP관련 > 침해사고 분석 및 대응' 카테고리의 다른 글
| [Day 76] Mirroring Mode, Inline Mode (0) | 2020.10.25 |
|---|---|
| [Day 72] Reverse Shell 침해 사고 시나리오 (0) | 2020.10.21 |
| [Day 51] 악성코드 분류 (0) | 2020.09.30 |
| [Day 50] Exploit, Shell Code (0) | 2020.09.29 |
| [Day 49] DBMS - View (0) | 2020.09.28 |