반응형
여러 분야에서 쓰이는 말이지만
보안 솔루션을 기반으로 써 보고자 한다.
탐지에 대한 내용이기 때문에 IDS(침입탐지솔루션)를 기준으로 이야기를 해보자
외부에서 패킷이 유입될 때 IDS는 해당 경로에 미러 방식을 통해 연결이 되어있다.
이 때 유입되는 패킷의 정상 비정상 유무와 IDS의 탐지 유무에 따라 4가지의 결과가 도출된다.
| 정상 패킷 | 비정상 패킷 | |
| 정상으로 탐지 | True Positive | False Negative(미탐) |
| 비정상으로 탐지 | False Positive(오탐) | True Negative |
정상 패킷 , 정상으로 탐지 (True Positive) -> 정상 패킷을 정상으로 탐지했기 때문에 문제가 되는 결과가 아니다.
정상 패킷, 비정상으로 탐지(False Positive) -> 정상 패킷을 비정상이라고 탐지했기 때문에 로그나 경고가 남아 이를 확인하는 번거로움이 생기긴 하지만 공격이 아니기 때문에 치명적인 결과를 낳지는 않는다.
비정상 패킷, 정상으로 탐지(False Negative) -> 비정상 패킷을 정상으로 판단하여 아무런 로그나 경고를 남기지 않아 호스트가 공격을 당할 위험이 발생한다. 따라서 False Negative를 줄이는 것이 가장 중요하다.
비정상 패킷, 비정상으로 탐지(True Negative) -> 비정상 패킷을 비정상으로 판단하여 올바르게 판단하였고 이에 대처가 가능하게 된다.
잘못된 판단은 False Positive(오탐) 과 False Negative(미탐) 두가지이다.
이중 False Negative는 실제 공격으로 이어질 수 있기 때문에 미탐률을 줄이는 것이 가장 먼저 필요하다.
반응형
'Computer Science > 네트워크' 카테고리의 다른 글
| IDS / IPS (0) | 2020.01.28 |
|---|---|
| 방화벽(Firewall) (0) | 2020.01.18 |