침입탐지/방지 (IDS/IPS)

침입탐지/방지 (IDS/IPS)

네트워크 트래픽과 시스템 활동을 모니터링하여 악의적 활동을 탐지(IDS)하고 차단(IPS)하는 보안 시스템

특징: 실시간 탐지, 오탐(FP)/미탐(FN) 존재, 시그니처+이상행위 탐지

구성요소: 센서(수집), 분석엔진(매칭/탐지), 시그니처 DB, 관리 콘솔

시그니처 기반: 알려진 공격 패턴 매칭, 정확도 높음, 제로데이 탐지 불가, DB 업데이트 필수

행위 기반: 정상 베이스라인 이탈 탐지, 신규 공격 탐지 가능, 오탐률 높음, 학습 기간 필요

NIDS: 네트워크 TAP/미러링, 패킷 분석, 네트워크 전체 가시성, 암호화 트래픽 한계(Snort/Suricata)

HIDS: 호스트 에이전트, 로그/파일무결성/레지스트리 감시, 암호화 후 검사 가능(OSSEC/Wazuh)

비교: IDS(탐지/알림/비인라인) vs IPS(탐지+차단/인라인) vs NDR(AI/ML/동서트래픽)

적용사례: 네트워크 보안, 호스트 보안, 임계 시스템 보호

연관: 방화벽, SIEM, NDR, 위협 탐지