Intrusion Detection System(IDS)란?
- 침입에 대해 탑지를 하고 reporting, logging을 하는 장치.
- 네트워크에는 영향을 미치지 않지만 차단은 할 수 없다.
- Anomaly detection(특이 상황 발생)과 misuse detection(rule based)이 있다.
Host-based IDS(HIDS)
- 컴퓨터 시스템의 내부를 감시하고 분석하는 데 중점을 둠
- OS에 설치된 사용자 계정에 따라 어떤 사용자가 어떠한 접근을 시도하고 작업을 했는지에 대한 기록을 남기고 추적
- 네트워크에 대한 침입탐지는 불가능하며, 스스로가 공격 대상이 될때만 침입을 탐지하는 방식
- 트로이목마, 논리폭탄, 백도어 탐지
Network-based IDS(NIDS)
- 네트워크를 통해 전송되는 패킷 정보 수집 및 분석하여 침입을 탐지하는 시스템
- IP주소를 소유하고 있지 않아 직접적인 해커 공격은 거의 완벽하게 방어 가능
- 설치 위치에 따라 감시 대상 네트워크 범위 조절 가능, 별도 서버를 스위치에 연결
- 공격당한 시스템의 공격에 대한 결과는 알 수 없으며, 암호화된 내용 탐지 불가
Intrusion Prevention System(IPS)란?
- IDS에서 한 단계 발전했다고 볼 수 있다. 탐지 뿐만 아니라 능동적인 행위를 하는데 차단을 하는 기능도 있는 것이다.
- 패킷을 실시간으로 처리하기에 네트워크 부하가 생긴다.
- 실질적으로 차단 역할도 하기 때문에 오탐 발생시 매우 곤란하다.
방화벽과의 차이
- 방화벽은 Network, Transport layers만 검사하지만 IDS, IPS는 2개 포함하면서 Session, Presentation, Application layer를 모두 검사한다.
- 즉 IDS, IPS는 패킷의 헤더부터 페이로드 내의 데이터까지 전부 검사하고 방화벽은 헤더만 검사하게 되는 것이다.
- 이러한 이유 때문에 보통 방화벽 뒤에 IDS/IPS를 둔다. 방화벽에서 쓸데없는 패킷을 먼저 필터링 하고 이후에 허용된 트래픽에서 검사를 다시 시작하는 것이다.
오탐, 정탐
| 정상 패킷 | 비정상 패킷 | |
|---|---|---|
| 정상으로 탐지 | True Positive(정탐) | False Negative(미탐) Type II error |
| 비정상으로 탐지 | False Positive(오탐 False Alarm) Type I error | True Negative(정탐) |
성능 분석
Precision(정밀도)
- 모델이 True라고 분류한 것 중에서 실제 True인 것의 비율.
- Positive 정답률, PPV(Positive Predictive Value)라고 불리고 날씨 예측 모델이 맑다고 예측했는데 실제 날씨가 맑았는지를 살표보는 지표입니다.
- \[Precision = {TP / TP + FP}\]
Recall(재현율)
- 실제 True인 것 중에 모델이 True라고 예측한 것의 비율.
- 통계학에서는 sensitivity로 다른 분야에서는 hit rate라고 불립니다. 실제 날씨가 맑은 날 중에서 모델이 맑다고 예측한 비율을 나태닌 지표인데 precision과 true positive의 경우를 다르게 바라보고 있습니다.
- \[Recall = {TP / TP + FN}\]
Accuracy
- 가장 직관적으로 모델의 성능을 나타낼 수 있는 평가 지표입니다. 실제 악성/정상인지 맞게 예측한 비율.
- \[Accuracy = {TP + TN \over TP + TN + FP + FN}\]
ROC, AUC
- ROC는 그래프이고 모델의 성능을 비교하기 좋습니다.
- AUC는 그래프 아래의 ROC 그래프 아래의 면적값을 이용한 것입니다. 최대값이 1이며 좋은 모델은 1에 가까운 값이 나옵니다.