반응형

DS(Intrusion Detection System)네트워크나 시스템에서 발생하는 비정상적인 행위나 침입 시도를 탐지하고 관리자에게 알려주는 보안 시스템입니다.

쉽게 말하면,

"도둑이 침입했는지 감시하고 경보를 울리는 CCTV"라고 생각하면 됩니다.


어떻게 동작할까?

사용자
     │
     ▼
네트워크
     │
     ▼
 IDS가 트래픽 감시
     │
     ├── 정상 → 통과
     │
     └── 공격 탐지 → 경고(Alert) 발생
 

IDS는 공격을 발견하면 경고를 보내지만, 직접 차단하지는 않습니다.


탐지 대상

IDS는 다음과 같은 공격을 탐지합니다.

  • SQL Injection
  • XSS(Cross-Site Scripting)
  • 포트 스캔
  • DoS/DDoS 공격
  • Brute Force(무차별 대입)
  • 악성코드 통신
  • 비정상적인 네트워크 트래픽

IDS의 종류

① NIDS (Network IDS)

네트워크를 흐르는 패킷을 분석합니다.

예)

  • 사내 네트워크
  • 인터넷 구간

대표적인 오픈소스:

  • Snort
  • Suricata

② HIDS (Host IDS)

개별 서버나 PC 내부를 감시합니다.

예)

  • 파일 변경
  • 로그인 기록
  • 시스템 로그
  • 프로세스 실행

대표적인 도구:

  • OSSEC
  • Wazuh

IDS와 IPS의 차이

IDSIPS
탐지(Detect) 탐지 + 차단(Prevent)
경고만 발생 공격을 자동 차단
수동 대응 자동 대응

쉽게 기억하면

  • IDS = 경보
  • IPS = 경보 + 즉시 차단
반응형

+ Recent posts