침입 탐지 시스템
열려있는 port에 대한 패킷의 내용 부분에서 공격 시도가 있는 스트림을 찾아내자는 개념
종류
- Network-based
- 패킷을 본다.
- Host-based
- 갑자기 시스템 폴더에 있는 파일의 값이 바뀜 ➡️ 무결성 체크
- 악성 코드는 단기간 내에 중요한 파일들을 암호화 시켜야 하기 때문에 CPU와 디스크의 리소스를 많이 잡아 먹음 ➡️ 분류기 모델 ➡️ 정상적인 값들에 라벨, 아닌 값들에 대해서도 라벨
- Signature-based
- Anomaly-based
- Stream matching
- log4j 공격
용어
- True Positive
- False Positive
- True Negative
- False Negative
Snort
- 문서로 적용되어 있지는 않지만 실질적으로는 표준
- 가장 대표적인 Network IDS
- wireshark와 달리 공격 탐지 기능
refined.rules
alert tcp any any → any any (msg:”Someone try to act admin”; flow:to_server; content:”adming”; sid:99999; rev:1;)
| 내용 | 의미 |
| alert | 경고를 남김 |
| tcp | tcp 패킷만 검사 |
| any any → any any | any(모든) 출발지 IP와 any 출발지 포트(port)로부터 any 도착지 IP와 any 도착지 포트로 향하는 패킷만 검사 |
| msg: “Someone try to act admin” | “Someone try to act admin”이라는 제목으로 경고를 남김 |
| flow: to_server; | 들어오는 패킷만 검사 |
| contnet: “admin”; | “admin”이라는 스트링 발견 시 경고를 남김 |
| sid: 99999; | 유일한 값을 가지는 id로 다른 룰과 겹치지 않게 9999 |
※ 국민대학교 소프트웨어학부 윤명근 교수님의 정보보호와시스템보안 교과목을 공부하며 정리한 내용입니다.
728x90
반응형
'정보 보안' 카테고리의 다른 글
| 네트워크 보안 - 침입 방지 시스템(Intrusion Prevention System) (0) | 2024.12.11 |
|---|---|
| 네트워크 보안 - DDoS (0) | 2024.12.11 |
| 네트워크 보안 - 고가용성(High Availability) (1) | 2024.12.11 |
| 네트워크 보안 - 방화벽(Firewall) (0) | 2024.12.10 |
| 네트워크 보안 - TCP/IP level (1) | 2024.12.10 |