호스트 기반 침입 탐지 시스템

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 작동 원리
- 2.1. 동작 감시
- 2.2. 상태 감시
  - 2.2.1. 감시 기법
  - 2.2.2. 실행 절차
3. HIDS 자체 보호
4. 평가 및 수용
참조

1. 개요

호스트 기반 침입 탐지 시스템(HIDS)은 컴퓨터 시스템의 활동을 감시하고 잠재적인 악성 행위를 탐지하는 보안 시스템이다. HIDS는 시스템의 상태를 감시하고, 해커가 남긴 흔적을 이용하여 침입을 탐지하며, NIDS와 함께 작동하여 네트워크 침입 시도를 찾아낸다. HIDS는 파일 시스템 객체에 대한 데이터베이스를 사용하고, 객체의 속성 및 체크섬을 저장하여 시스템 변경 사항을 감시한다. 또한 HIDS는 데이터베이스의 무단 변경을 방지하기 위해 다양한 보호 기법을 사용하며, TPM과 같은 기술을 활용하여 보안을 강화한다.

더 읽어볼만한 페이지

컴퓨터 보안 - 얼굴 인식 시스템
얼굴 인식 시스템은 디지털 이미지나 비디오에서 사람 얼굴을 감지하고 식별하는 기술로, 다양한 알고리즘 발전을 거쳐 보안, 신원 확인 등에 활용되지만, 편향성, 개인 정보 침해, 기술적 한계와 같은 윤리적 문제도 야기한다.
컴퓨터 보안 - 워터마크
워터마크는 종이 제조 시 두께 차이를 이용해 만들어지는 표식으로, 위조 방지를 위해 지폐나 여권 등에 사용되며 댄디 롤 등의 제작 기법을 통해 만들어지고 컴퓨터 프린터 인쇄 기술로도 활용된다.

호스트 기반 침입 탐지 시스템
개요
유형	침입 탐지 시스템
영어 명칭	Host-based Intrusion Detection System (HIDS)
설명
특징	시스템 호출을 사용
검사 대상	호스트

2. 작동 원리

HIDS(호스트 기반 침입 탐지 시스템)는 시스템의 동작과 상태를 감시하여 침입을 탐지한다. 크게 동작 감시와 상태 감시 두 가지 방식으로 작동한다.

HIDS는 운영 체제의 보안 정책을 우회하는 시도를 감시하는 에이전트로 볼 수 있다. 성공적인 침입자(해커)는 대개 활동 흔적을 남기는데, HIDS는 이를 이용한다. 침입자는 공격한 시스템을 "소유"하고 백도어 등을 설치하여 이후에도 접근 권한을 유지하려 한다. HIDS는 이러한 변경 사항을 탐지하고 보고하는 역할을 한다.

이상적인 환경에서는 HIDS와 NIDS가 함께 작동한다. HIDS는 NIDS를 통과한 침입 시도를 탐지하며, 상용 솔루션은 NIDS와 HIDS의 결과를 연관시켜 네트워크 침입의 성공 여부를 판단한다.

흥미롭게도, 컴퓨터에 성공적으로 침투한 크래커들은 경쟁적인 심리 때문에 침입한 시스템을 보호하기 위해 최상의 보안 기술을 적용하기도 한다. 이는 다른 크래커의 침입을 막고 자신만의 백도어를 유지하기 위함이다.

2. 1. 동작 감시

HIDS는 컴퓨터 시스템의 동작이나 상태를 감시한다. NIDS가 네트워크 패킷을 검사하는 것처럼, HIDS는 프로그램이 접근하는 리소스를 탐지하여 워드 프로세서 같은 프로그램이 시스템 비밀번호 데이터베이스를 수정할 수 없게 하는 방식으로 동작한다.^[3]

안티바이러스 소프트웨어는 시스템의 동작을 감시하는 도구의 한 형태이다. 안티바이러스 소프트웨어는 시스템의 상태를 감시하기도 하지만, 대부분 실행 시간을 누가 어떤 일을 하고 있는지와 프로그램이 리소스에 접근할 수 있는지 여부를 조사하는 데 사용한다. 기능 면에서 HIDS와 안티바이러스 소프트웨어는 많은 부분이 겹치기 때문에 명확하게 구분하기 어렵다.^[3]

일부 침입 방지 시스템은 시스템 메모리에서 발생하는 버퍼 오버플로우 공격으로부터 보호하며 보안 정책을 시행할 수 있다.

2. 2. 상태 감시

HIDS는 컴퓨터 시스템의 동작이나 상태를 감시한다. NIDS가 네트워크 패킷을 검사하는 것처럼, HIDS는 프로그램이 접근하는 리소스를 탐지하여 워드 프로세서와 같은 프로그램이 시스템 비밀번호 데이터베이스를 수정하지 못하게 한다. 또한 HIDS는 시스템의 램, 파일 시스템 등의 상태 정보를 검사하여 예상된 내용이 있는지 확인한다.^[3]

HIDS는 운영 체제의 보안 정책을 우회하는 시도를 감시하는 에이전트 역할을 한다. 성공적인 침입자(해커)는 흔적을 남기는데, HIDS는 이 점을 이용하여 침입을 탐지한다. 이론적으로 사용자는 모든 변경 사항을 탐지할 수 있으며, HIDS는 이 작업을 자동화하여 결과를 보고한다.

HIDS는 NIDS와 함께 작동하여 더 효과적인 침입 탐지를 수행한다. 상용 솔루션은 NIDS와 HIDS의 결과를 연관시켜 네트워크 침입의 성공 여부를 파악하기도 한다.

컴퓨터에 성공적으로 침투한 크래커들은 경쟁 심리 때문에 자신이 침입한 시스템을 보호하기 위해 최상의 보안 기술을 적용하기도 한다. 이는 다른 크래커의 침입을 막고, 자신만의 백도어를 유지하기 위함이다.

2. 2. 1. 감시 기법

HIDS는 일반적으로 감시 대상 시스템 오브젝트의 데이터베이스(오브젝트 데이터베이스)를 사용하며, 주로 파일 시스템 오브젝트의 데이터베이스를 활용한다. HIDS는 오브젝트의 속성(권한, 크기, 변경 날짜)을 기억하고, 내용이 있는 경우 MD5, SHA1 해시 등 체크섬을 생성하여 체크섬 데이터베이스에 저장, 무결성을 검증한다.^[3] 그러나 2004년 연구에 따르면 MD5 해시 일치가 파일 변경 여부를 완전히 보장하지는 않는다.^[3]

HIDS는 서버, 워크스테이션 등 엔드포인트의 네트워크 인터페이스(NIC) 수준에서 NIDS 기능을 제공하여 공격 소스(IP 주소) 및 세부 정보(패킷 데이터)를 파악할 수 있으며, 이는 동적 행동 모니터링으로는 불가능하다.

2. 2. 2. 실행 절차

HIDS를 설치하거나 감시 대상 오브젝트가 정당하게 변경될 때마다, HIDS는 관련 오브젝트를 스캔하여 체크섬 데이터베이스를 초기화해야 한다. 침입자가 데이터베이스를 무단으로 변경하는 것을 막기 위해, 컴퓨터 보안 담당자는 이 과정을 엄격하게 통제해야 한다.^[3] 이러한 초기화는 일반적으로 시간이 오래 걸리며, 각 오브젝트와 체크섬 데이터베이스를 암호화하여 잠그는 작업이 포함될 수 있다. 따라서 HIDS 제작사는 체크섬 데이터베이스를 자주 업데이트하지 않아도 되도록 오브젝트 데이터베이스를 구성한다.

컴퓨터 시스템에는 자주 변경되는 동적 오브젝트가 많다. HIDS는 이러한 오브젝트를 감시해야 하지만, 체크섬은 동적 오브젝트에 적합하지 않다. 이 문제를 해결하기 위해 HIDS는 다음과 같은 다양한 탐지 기술을 사용한다.^[3]

변경된 파일 속성 감시
마지막 검사 이후 크기가 감소한 로그 파일 검사
기타 이상 이벤트를 탐지하기 위한 다양한 방법

시스템 관리자가 객체 데이터베이스를 구축하고 체크섬 데이터베이스를 초기화하면, HIDS는 감시 대상 오브젝트를 정기적으로 스캔하고 문제점을 보고한다. 보고는 로그 파일, 이메일 등의 형태로 제공된다.^[3]

3. HIDS 자체 보호

HIDS는 일반적으로 객체 데이터베이스, 체크섬 데이터베이스 및 보고서가 무단으로 변경되는 것을 막기 위해 많은 노력을 기울인다. 예를 들어 많은 컴퓨터 웜과 컴퓨터 바이러스들은 안티 바이러스 프로그램을 무력화하려고 시도하는데, HIDS도 침입자에 의해 이와 비슷한 공격을 받을 수 있다.^[1]

이를 방지하기 위해 HIDS는 다음과 같은 방법을 사용한다.^[1]

암호화 기술: 데이터베이스와 보고 내용을 암호화하여 보호한다.
읽기 전용 저장 장치: 관리자가 데이터베이스를 CD-ROM과 같이 읽기만 가능한 장치에 저장하여 데이터 변조를 막는다.
시스템 외부 로깅: 로그를 즉시 시스템 외부로 보내 침입자가 로그를 삭제하거나 수정하는 것을 방지한다. 일반적으로 VPN 채널을 사용하여 중앙 관리 시스템으로 보낸다.

TPM(신뢰 플랫폼 모듈)은 HIDS의 한 종류로 볼 수 있다. TPM은 HIDS와 여러 면에서 다르지만, 기본적으로 컴퓨터의 일부가 변조되었는지 여부를 식별하는 수단을 제공한다. TPM은 CPU 외부의 하드웨어에 의존하기 때문에 침입자가 객체 및 체크섬 데이터베이스를 손상시키는 것을 더욱 어렵게 만든다.^[1]

4. 평가 및 수용

InfoWorld는 호스트 기반 침입 탐지 시스템 소프트웨어가 네트워크 관리자가 멀웨어를 찾는 데 유용한 방법이라고 평가하며, 중요한 서버뿐만 아니라 모든 서버에서 실행할 것을 권장한다.

참조

_[1] 논문 Host-Based Intrusion Detection System with System Calls: Review and Future Trends https://doi.org/10.1[...] 2018-11-19
_[2] 논문 Network intrusion detection system: A systematic study of machine learning and deep learning approaches https://onlinelibrar[...] 2021-01-01
_[3] 서적 Computer and Information Security Handbook Morgan Kauffman 2013
_[4] 논문 Host-Based Intrusion Detection System with System Calls: Review and Future Trends https://doi.org/10.1[...] 2018-11-19

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com