본문 바로가기
IT 보안

IDS 룰 종류 및 설명

by 떠도리c 2024. 9. 22.
반응형

IDS(Intrusion Detection System)는 네트워크 및 시스템의 보안을 강화하기 위한 시스템으로, 외부로부터의 공격 및 내부에서의 악의적인 행위를 탐지할 수 있습니다. IDS는 이러한 보안 위협을 탐지하기 위해 미리 정의된 규칙(Rule)을 사용합니다.

  • Signature-based Rule
    Signature-based Rule은 네트워크 및 시스템에서 발생하는 데이터 패킷을 분석하여 미리 정의된 패턴에 해당하는 패킷을 탐지합니다. 이러한 패턴은 악성코드, 포트 스캐닝 등 다양한 보안 위협에 대한 패턴을 포함합니다.

 

  • Anomaly-based Rule
    Anomaly-based Rule은 정상적인 네트워크 및 시스템 동작에 대한 기준을 설정하고, 이에 따라 비정상적인 동작을 감지합니다. 이러한 규칙은 시스템이나 네트워크에서 발생하는 특정 동작이나 패턴을 기준으로 설정됩니다.

 

  • Stateful Protocol Analysis Rule
    Stateful Protocol Analysis Rule은 네트워크에서 발생하는 패킷들의 상태 정보를 감시하고, 이를 기반으로 보안 위협을 탐지합니다. 이를 위해 패킷의 헤더 정보와 페이로드를 분석하여 보안 위협에 해당하는 패턴을 탐지합니다.

 

  • Protocol Analysis Rule
    Protocol Analysis Rule은 특정 프로토콜에 대한 동작을 분석하여 보안 위협을 탐지합니다. 이를 위해 프로토콜의 동작에 대한 규칙을 미리 설정하고, 이에 따라 패킷을 분석합니다.

위의 4가지 규칙은 IDS에서 사용되는 주요 규칙입니다. 이외에도 다양한 규칙이 존재하며, 이를 통해 보안 위협에 대한 탐지와 대응을 강화할 수 있습니다.

Suricata, Yara Rule, Snort, Sigma

Suricata와 Yara Rule은 각각 IDS 시스템과 파일 분석에 사용되는 툴입니다.

Suricata는 Signature-based Rule과 Anomaly-based Rule을 모두 지원하며,
Yara Rule은 파일 분석에 사용되는 규칙으로, 보다 세부적인 탐지를 위해 사용됩니다.

그 외에도 Snort와 Sigma 규칙이 존재합니다.

Snort는 Signature-based Rule을 사용하여 네트워크 상에서의 보안 위협을 탐지합니다.
Sigma는 시스템 로그 및 네트워크 트래픽 로그를 분석하여 보안 위협을 탐지하는 규칙입니다.

반응형