[보안_GPT] IDS란?

🔥 1. IDS란?

정의:
IDS는 네트워크나 시스템에서 발생하는 트래픽과 이벤트를 분석해 침입이나 공격 시도를 탐지하는 장치 또는 소프트웨어야.

즉:

👉 “실시간으로 공격을 탐지하지만, 스스로 차단하지는 않는 보안 장치”

• IDS는 알람/로그를 통해 보안 담당자에게 공격을 알려주는 감시자 역할
• IPS와 비교하면 자동 차단 기능 없음

---

🔹 2. IDS vs IPS 비교

구분IDSIPS

역할	공격 탐지 및 알람	공격 탐지 + 자동 차단
트래픽 위치	패킷 미러링 방식	트래픽 경로 상에서 실시간 검사
대응	수동 대응 필요	자동 차단 가능
목적	모니터링 & 분석	예방 및 차단

---

🔹 3. IDS 동작 방식

1️⃣ 트래픽 모니터링

• 네트워크 패킷, 호스트 이벤트, 로그 분석

2️⃣ 공격 탐지 방식

• 시그니처 기반(Signature-based): 알려진 공격 패턴 탐지
• 이상행위 기반(Anomaly-based): 정상 트래픽과 다른 행동 감지
• 상태 기반(Stateful Protocol Analysis): 프로토콜 비정상 여부 확인

3️⃣ 알람 생성

• 침입 의심 이벤트 → 관리자 알람, SIEM 연동 가능

4️⃣ 로그 기록

• 공격 패턴, 발생 시간, 출발지/목적지 IP 등 기록

---

🔹 4. IDS 종류

1️⃣ NIDS (Network IDS)

• 네트워크 전체 트래픽 분석
• 스위치/라우터 미러 포트 통해 감시

2️⃣ HIDS (Host IDS)

• 서버, PC 등 개별 호스트에서 이벤트 분석
• 파일 변조, 로그인 시도, 시스템 호출 감시

3️⃣ Wireless IDS (WIDS)

• 무선 네트워크 트래픽 분석, AP 감시

---

🔹 5. IDS가 탐지할 수 있는 공격

• DDoS / DoS 공격 시도
• 포트 스캔, 취약점 공격 시도
• SQL Injection, XSS 등 웹 공격
• 악성코드 침투 시도
• 내부 사용자 권한 남용

---

🔹 6. IDS 장점

• 네트워크 및 시스템 가시성 확보
• 보안관제 연계 → SIEM 로그 분석 가능
• 알려진 공격뿐만 아니라 이상행위 탐지 가능
• IPS보다 오탐(차단 오류) 위험 낮음

---

🎯 한 문장 요약

IDS = 네트워크나 시스템에서 발생하는 침입이나 공격 시도를 실시간으로 탐지하고 알람과 로그를 생성하는 장치로, 스스로 차단하지는 않는 감시자 역할을 한다.