IDS, IPS 란?

Intrusion Detection System(IDS)란?

• 침입에 대해 탑지를 하고 reporting, logging을 하는 장치.
• 네트워크에는 영향을 미치지 않지만 차단은 할 수 없다.
• Anomaly detection(특이 상황 발생)과 misuse detection(rule based)이 있다.

Host-based IDS(HIDS)

• 컴퓨터 시스템의 내부를 감시하고 분석하는 데 중점을 둠
• OS에 설치된 사용자 계정에 따라 어떤 사용자가 어떠한 접근을 시도하고 작업을 했는지에 대한 기록을 남기고 추적
• 네트워크에 대한 침입탐지는 불가능하며, 스스로가 공격 대상이 될때만 침입을 탐지하는 방식
• 트로이목마, 논리폭탄, 백도어 탐지

Network-based IDS(NIDS)

• 네트워크를 통해 전송되는 패킷 정보 수집 및 분석하여 침입을 탐지하는 시스템
• IP주소를 소유하고 있지 않아 직접적인 해커 공격은 거의 완벽하게 방어 가능
• 설치 위치에 따라 감시 대상 네트워크 범위 조절 가능, 별도 서버를 스위치에 연결
• 공격당한 시스템의 공격에 대한 결과는 알 수 없으며, 암호화된 내용 탐지 불가

Intrusion Prevention System(IPS)란?

• IDS에서 한 단계 발전했다고 볼 수 있다. 탐지 뿐만 아니라 능동적인 행위를 하는데 차단을 하는 기능도 있는 것이다.
• 패킷을 실시간으로 처리하기에 네트워크 부하가 생긴다.
• 실질적으로 차단 역할도 하기 때문에 오탐 발생시 매우 곤란하다.

방화벽과의 차이

• 방화벽은 Network, Transport layers만 검사하지만 IDS, IPS는 2개 포함하면서 Session, Presentation, Application layer를 모두 검사한다.
• 즉 IDS, IPS는 패킷의 헤더부터 페이로드 내의 데이터까지 전부 검사하고 방화벽은 헤더만 검사하게 되는 것이다.
• 이러한 이유 때문에 보통 방화벽 뒤에 IDS/IPS를 둔다. 방화벽에서 쓸데없는 패킷을 먼저 필터링 하고 이후에 허용된 트래픽에서 검사를 다시 시작하는 것이다.

오탐, 정탐

	정상 패킷	비정상 패킷
정상으로 탐지	True Positive(정탐)	False Negative(미탐) Type II error
비정상으로 탐지	False Positive(오탐 False Alarm) Type I error	True Negative(정탐)

성능 분석

Precision(정밀도)

• 모델이 True라고 분류한 것 중에서 실제 True인 것의 비율.
• Positive 정답률, PPV(Positive Predictive Value)라고 불리고 날씨 예측 모델이 맑다고 예측했는데 실제 날씨가 맑았는지를 살표보는 지표입니다.
• \[Precision = {TP / TP + FP}\]

Recall(재현율)

• 실제 True인 것 중에 모델이 True라고 예측한 것의 비율.
• 통계학에서는 sensitivity로 다른 분야에서는 hit rate라고 불립니다. 실제 날씨가 맑은 날 중에서 모델이 맑다고 예측한 비율을 나태닌 지표인데 precision과 true positive의 경우를 다르게 바라보고 있습니다.
• \[Recall = {TP / TP + FN}\]

Accuracy

• 가장 직관적으로 모델의 성능을 나타낼 수 있는 평가 지표입니다. 실제 악성/정상인지 맞게 예측한 비율.
• \[Accuracy = {TP + TN \over TP + TN + FP + FN}\]

ROC, AUC

• ROC는 그래프이고 모델의 성능을 비교하기 좋습니다.
• AUC는 그래프 아래의 ROC 그래프 아래의 면적값을 이용한 것입니다. 최대값이 1이며 좋은 모델은 1에 가까운 값이 나옵니다.