IDS 종류 비교: N-IDS vs H-IDS
| 구분 | 탐지방법 | 암호 패킷 탐지 | OS | 스위치 환경 적용 | 특징(장단점/용도) |
|---|---|---|---|---|---|
| N-IDS (Network-based) | 네트워크 구간을 지나가는 트래픽을 미러/SPAN·TAP로 수집하여 시그니처/행위/이상탐지 수행 | 콘텐츠 복호화 불가(TLS 등). 다만 메타데이터(SNI, IP/포트/패턴, 통계) 기반 탐지 가능. SSL 가시화 장비 연동 시 한계 완화 | 독립 어플라이언스/가상 장비(전용 OS), 일부 리눅스 기반 센서 | 필수: 스위치 미러링(SPAN) 또는 TAP. 코어/분기 구간에 센서 배치. 대역폭 증가 시 성능 고려 | 장점: 광범위 가시성, 네트워크 전반 공격 흐름 파악. 단점: 암호화 트래픽 내부 내용 미가시화, 고속구간 스케일 부담. 용도: 경계/코어 구간, 동서/북남 트래픽 가시화 |
| H-IDS (Host-based) | 호스트 내부 이벤트(로그, 프로세스/파일 무결성, 커널 훅, 시스템콜)로 시그니처/행위 탐지 | 복호 이후 상태를 직접 관찰(프로세스·파일·메모리)하므로 암호화 우회 가능(앱 레벨에서 평문 처리 구간 관측) | 서버/엔드포인트 OS 에이전트(Windows, Linux, Unix 등) | 스위치 의존 없음. 에이전트 배포/운영이 핵심 | 장점: 암호화 환경에 강함, 상세 포렌식·무결성 검사. 단점: 호스트 부하/관리 복잡도, 에이전트 미설치 자산 미가시화. 용도: 서버 중요자산, 클라우드/VM, EDR 연계 |
요약 & 암기 포인트
-
가시성 축: N-IDS = 네트워크 전반, H-IDS = 호스트 내부
-
암호화 트래픽: N-IDS는 메타데이터 기반 한계, H-IDS는 복호 이후 관측 가능
-
배치 요건: N-IDS는 SPAN/TAP 필수, H-IDS는 에이전트 배포
-
실무 조합: N-IDS + H-IDS + SIEM 연계로 상호 보완(네트워크 흐름 ↔ 호스트 근거)
작은 체크리스트 (시험/실무)
-
TLS 시대 탐지 전략: N-IDS는 SNI/JA3/통계적 이상 활용, 가능하면 SSL 가시화 연동. H-IDS는 프로세스·파일·로그 상관분석.
-
운영 팁: 고속 구간 N-IDS는 패킷 드롭율/버퍼 모니터링, H-IDS는 정책(무결성/행위 규칙) 튜닝과 부하 관리 필수.
-
오탐 관리: 룰 업데이트(시그니처), 베이스라인 학습(이상탐지), SIEM으로 상관규칙 적용.
