반응형
🔥 1. HIDS란?
정의:
HIDS(Host-based Intrusion Detection System)는 개별 호스트(서버, 컴퓨터 등)에서 발생하는 악성 행위나 비정상적인 활동을 탐지하는 보안 시스템이야.
즉:
👉 “개별 장치에서 발생하는 침입, 해킹 시도를 실시간으로 감지하고 경고하는 시스템”
- 네트워크에서 발생하는 공격을 감지하는 **NIDS(Network-based IDS)**와 달리, 호스트 내의 활동을 직접 모니터링
🔹 2. HIDS의 주요 기능
1️⃣ 시스템 로그 모니터링
- 시스템에서 발생하는 로그 파일을 실시간으로 모니터링
- 예: /var/log/auth.log, 이벤트 로그 등
2️⃣ 파일 무결성 검사
- 중요한 시스템 파일의 변경 여부를 추적
- 악성코드나 비정상적인 파일 변조 탐지
3️⃣ 프로세스 모니터링
- 실행 중인 프로세스를 감시하고 의심스러운 활동을 탐지
- 예: rootkit, 불법 프로그램 실행
4️⃣ 침입 탐지
- 시스템 내에서 비정상적인 접근 시도나 해킹을 실시간으로 탐지
5️⃣ 경고 및 알림
- 의심스러운 활동이 발생하면 관리자에게 즉시 경고 메시지나 이메일을 발송
🔹 3. HIDS와 NIDS 차이
구분HIDSNIDS
| 탐지 대상 | 호스트 내의 활동(파일, 프로세스 등) | 네트워크 내의 트래픽 |
| 배치 위치 | 서버나 클라이언트 장치에 설치 | 네트워크 경계에 설치 (예: 라우터, 스위치) |
| 장점 | 호스트 내부에서 발생하는 공격 탐지 가능 | 네트워크 전반의 공격을 탐지 |
| 단점 | 각 호스트에 별도로 설치 필요, 리소스 소비 | 암호화된 트래픽, 내부 네트워크 트래픽 탐지 어려움 |
🔹 4. HIDS 사용 사례
- 서버 보안: 특정 서버에서 발생하는 비정상적인 로그인 시도, 파일 변경 등 감지
- 개인 PC 보안: PC에서 발생하는 의심스러운 프로그램 실행 감지
- 데이터 유출 탐지: 중요한 파일의 무단 접근이나 외부로의 전송 감지
- 보안 규제 준수: PCI DSS, HIPAA와 같은 규제를 준수하기 위한 로그 모니터링
🔹 5. HIDS의 장점과 단점
장점단점
| 실시간 모니터링: 장치 내 활동을 실시간으로 감시 가능 | 리소스 소비: 시스템 자원을 일부 사용 |
| 세밀한 탐지: 파일, 프로세스, 시스템 이벤트 등을 세밀하게 모니터링 | 설정 및 관리 복잡: 많은 호스트를 관리해야 함 |
| 내부 공격 탐지: 외부 네트워크 공격뿐만 아니라 내부 공격도 탐지 가능 | 네트워크 공격 탐지 불가: 네트워크 전체를 모니터링하지 않음 |
🎯 한 문장 요약
HIDS = 개별 호스트에서 발생하는 침입, 해킹 시도, 비정상적인 활동을 탐지하여 경고하는 보안 시스템으로, 시스템 파일, 프로세스, 로그 등을 실시간으로 모니터링한다.
반응형
'2. 보안 > 3. 시스템 보안' 카테고리의 다른 글
| [보안_GPT] Apache / Tomcat / Nginx란? (0) | 2025.11.17 |
|---|---|
| [보안_GPT] Rootkit 감지 도구란? (0) | 2025.11.17 |
| [보안_GPT] EDR (Endpoint Detection and Response)란? (0) | 2025.11.17 |
| [보안_GPT] Linux 커널/패키지 업데이트란? (0) | 2025.11.14 |
| [보안_GPT] sudo 권한이란? (0) | 2025.11.14 |