[정보보안기사] 침입탐지시스템 오용탐지, 이상탐지, False Positive(위양성), False Negative(위음성)

오늘은 소개할 내용은

문제가 나오면 항상 헷갈리는 내용인 침입탐지시스템의 오용탐지, 이상탐지 그리고 False Positive, False Negative이다.

 

오용탐지(Misuse Detection, 지식기반 침입탐지)

 - 알려진 침입행위를 침입으로 탐지하고 정해진 모델과 일치하는 경우 침입으로 간주, 즉 모든 공격행위를 DB화 해서 막아내겠다는 방식이다.

 - 장점 : 오탐률(False Positive)이 낮다(지정된 침입행위만 탐지하기 때문에 정상행위를 침입행위로 탐지할 확률이 낮다)

 - 단점 : DB에 없는 침입행위는 탐지가 불가능(지속적인 DB관리가 필요하고, Zero Day Attack 방지 불가)

 

이상탐지(Anomaly Detection, 행위기반 침입탐지)

 - 사용자 행위를 분석한 후 정상행위에서 벗어난 경우를 찾아 침입을 탐지

 - 장점 : 침입행위에 대한 DB관리가 불필요하고, Zero Day Attack 등 알려지지 않은 취약점 공격 방어 가능

 - 단점 : 오탐률이 높음

 

오용탐지와 이상탐지는 항상 헷갈린다. 지식기반침입탐지, 행위기반 침입탐지를 함께 외우면 조금더 직관적으로 외울수 있는 것 같다.

이상탐지를 이상행위 탐지라고 외우면 나머지는 간단하게 외워질 것 같다.

 

False Positive(위양성, 오탐)

 - 정상인데 오류로 잘못 탐지하는 경우(맞다고 잘못 탐지하는 경우)

 

False Negative(위음성, 미탐)

 - 오류인데 오류가 아니라고 잘못 탐지하는 경우(아니라고 잘못 탐지하는 경우)

 

False - 거짓 위(僞)

Positive - 양성

Negative - 음성

이렇게 붙여서 이해하면 조금 더 외우기 좋다. 

위양성, 위음성은 컴퓨터공학이 아닌 의학 등 다른 분야에서도 많이 사용하기도 하기 때문에

위양성, 위음성으로 연결시켜 해석하자.