네트워크 보안_침입 탐지 시스템, 오용탐지, 이상탐지, False Positive, False Negative

▣ 네트워크 보안_침입 탐지 시스템, 오용탐지, 이상탐지, False Positive, False Negative

구분	오용탐지(Misuse)	비정상탐지(Anormaly)
동작방식	시그니처(signature) 기반 = Knowledge 기반	프로파일(Profile) 기반 = Behavior 기반 = Statistical 기반
침입 판단 방법	미리 정의된 Rule에 매칭 이미 정립된 공격 패턴을 미리 입력하고, 이것에 매치됨	미리 학습된 사용자 패턴에 어긋남 정상적, 평균적 상태를 기준으로 하여 이에 급격한 변화가 있을 때 침입 판단
사용기술	패턴비교, 전문가시스템, 상태전이 분석, 서명분석	신경망, 통계적 방법, 특징추출, 컴퓨터 면역 시스템
장점	빠른 속도, 구현이 쉬움 사용자의 이해가 쉬움 False Positive가 낮음	알려지지 않은 공격(Zero Day Attack)대응 가능 사용자가 미리 공격 패턴을 정의할 필요 없음
단점	False Negative 큼 알려지지 않은 공격 탐지불가 대량의 자료를 분석 부적합	어떤 행위가 정상인지, 비정상인지 결정할 수 있는 임계치를 정하기 힘듦 False Positive가 크고 구현이 어려움

* False Positive : 공격 아닌데도 공격이라 오판 하는 것

* False Negative : 공격인데도 공격이 아니라 오판 하는 것

 

True Positive : 공격을 공격이라고 판단하는 것

True Negatvie : 공격이 아닌 걸 공격이 아니라고 판단하는 것

 

* T : True, F: False, P : Positive, N : Negative

 

		실측치
		P	N
예측치	P	TP	FP
	N	FN	TN

* T : True, F: False, P : Positive, N : Negative

 

---

2013년 101번

정답 : 2번

컴퓨터 면역시스템은 오용탐지가 아닌 비정상 탐지 기법임

 

영국 케임브리지 대학교 출신 수학자들과 머신 러닝 전문가들은 2013년 다크트레이스(Darktrace)라는 기업을 설립

다크트레이스는 사이버 보안의 난제들을 푸는 데 인간 면역체계(Immune System)의 메커니즘을 적용함

 

다크트레이스는 정상적인 상태를 알고 있다면 비정상적인 행위는 쉽게 탐지할 수 있다는 전제 하에 생물학적 면역체계의 원리를 네트워크에 적용

건강한 컴퓨터 네트워크 상태를 기계 학습(machine learning)시킨 후 그 밖의 행동들을 탐지하도록 만듦

알려지지 않은 지능화한 공격들이 향후 계속해서 기업 네트워크를 뚫고 들어올 것이라는 예측

어차피 막을 수 없다면 최대한 빠르게 탐지해서 대응하는 것이 최선임(이상 행위로 탐지해 대응)

기계 학습한 것에 기초해 정상 범주를 벗어나는 행위들에 대해 직관적으로 보여줌

특정 행위가 양성(Benign)인지 악성(Malicious)인지 확정적으로 제시하는 것이 아니라 확률적으로 보여줌

제시된 확률을 보고 최종적인 판단을 하는 것은 각 기업 보안담당자의 소관임

 

---

2013년 112번

정답 : 3번

"침입이 발생하였으나 침입자의 행위 특성이 정상 사용자의 행위 특성과 유사하여 침입 탐지 시스템이 이를 탐지하지 못하였다."는 False Negatvie에 해당됨