에듀윌
·
IDS 탐지 기법
블록 ②
수배 전단지 vs 낯선 행동 감지
IDS 탐지 기법
2종
두음
오 = 시그 / 이 = 행동
오용 탐지=시그니처, 이상 탐지=행동 기반
구분
오용 탐지 (Misuse)
이상 탐지 (Anomaly)
별명
시그니처 기반
행동 기반
원리
알려진 공격 패턴 DB 매칭
정상 패턴 학습 후 편차 탐지
장점
정확도 높음, 오탐 적음
Zero-day 대응 가능
단점
Zero-day 못 막음
오탐 많음
합격 공식
'Zero-day 공격에 대응 가능한 기법은?' →
이상 탐지(행동 기반)
. 시그니처(오용) 기반은 새 공격을 못 잡아요.