[자바 기초부터 하나씩/8장 연습문제 솔루션 답지 해답] 캡슐화, 문자열

1. 침입자의 기술 수준을 정의하라.

견습생 - 기존의 해킹 도구를 주로 사용하는 기술 수준이 아주 낮은 해커.

숙련공 - 이미 알려진 취약점과 유사한 새로운 취약점을 찾아 활용할 수 있는 능력이 있음

거장 - 새로운 범주의 취약점을 발견할 수 있을 정도로 고도의 해킹 기술을 갖춘 해커

 

3. 침입자에 의해 발생되는 공격 단계의 예를 들어라.

공격 대상 포착 및 정보수집 - 기업의 기업 구조, 인력, 주요 시스템에 대한 자세한 내용은 웹사이트뿐만 아니라 사용되는 특정 웹 서버와 OS의 세부사항 조사.

초기 접속 - 모든 가능성 있는 패스워드를 다 사용해보는 브루트 포스 공격을 통한 패스워드 추측

권한 상승 - 특정 정보를 얻기 위한 관리자 암호 확보

정보 수집 또는 시스템 취약점 공격 - 원하는 정보에 대한 파일 검색

접근 유지/관리 - 지속적인 접근을 이한 관리자 암호 사용

추적회피 - 루트킷을 사용하여 시스템의 파일들을 숨김.

 

 

5. 호스트 기반 IDS와 네트워크 기반 IDS의 차이점을 설명하라. 이런 장점들은 하나의 시스템으로 결합될 수 있는가?

호스트 기반 IDS는 한 호스트의 특성과 그 안에서 발생하는 이벤트들을 감시하면서 의심스러운 활동을 탐지합니다. 네트워크 기반 ID는 특정 부분에서 관찰되는 네트워크 트래픽을 감시하고, 네트워크/트랜스포트/애플리케이션 프로토콜을 분석하여 활동을 탐지합니다.

하이브리드IDS의 경우 호스트 및 네트워크 기반 IDS들로부터 오는 정보들을 모두 합쳐 침입활동을 분석합니다.

 

7. false positive와 false negative의 차이점은 무엇인가?

false positive는 발생하지 않은 공격을 발생한 공격으로 인식하는 것입니다.

false negative는 발생한 공격을 발생하지 않은 공격으로 인식하는 것입니다.

 

9. IDS의 몇 가지 바람직한 특성을 나열하라.

Sensor - 데이터 수집

Analyzor - 침입 유무에 대한 판단하고 알려줌

User Interface - IDS의 출력 내용을 보거나 시스템의 행동을 제어함.

 

 

11. 이상 탐지 시스템에서 사용하는 세 가지 범주를 정의하라.

통계적 방식 - 단변량, 다변량 또는 관측된 측정치의 시계열 모델을 사용하여 부석하는 방법입니다.

지식 기반 방식 - 전문가 시스템을 사용하여 정상적인 행동을 모델링하는 규칙을 만들고 관찰된 행동과 비교하여 탐지하는 방법

기계 학습 방식 - 데이터 마이닝 기법을 사용하여 훈련 데이터로부터 자동으로 적합한 분류모델을 결정하는 방법입니다.

 

 

13. 오용 탐지와 규칙 기반 휴리스틱 식별의 차이점은 무엇인가?

오용탐지는 시스템에 저장된, 혹은 네트워크 상에 전송중인 데이터를 대량의 알려진 악성 데이터 혹은패턴 집합과 비교하여 탐지합니다. 악성데이터의 탐지율을 가능한 높이면서 경고 오류비율을 최소화 하기위해 많은 양의 오용 패턴이 필요합니다.

휴리스틱 탐지는 알려진 침투 방법, 혹은 알려진 취약점을 이용하는 침투 방법을 식별하기 위해 규칙 집합을 사용합니다. 의심스러운 행동을 구별하기 위한 규칙들을 정의할 수 있습니다.

 

15. 이상 HIDS 또는 오용 휴리스틱 HIDS가 현재 많이 사용되는 이유는?

시간 자원과 사용 측면에서 상대적으로 많이 저렴하기 때문에 많은 시스템에서 사용합니다. 운영체제에서 많이 사용되는 특징 또한 많이 사용되는 데에 큰 몫을 차지합니다.

 

17. NIDS에 사용될 수 있는 센서의 종류를 설명하라.

인라인 센서 - 네트워크 세그먼트에 삽입되어 그 센서를 직접 통과하는 트래픽만 감지합니다. 공격이 감지되었을 때, 바로 그 공격 트래픽을 차단할 수 있습니다.

수동 센서 - 네트워크 트래픽의 복사본을 감시합니다. 실제 트레픽은 감시하지 않습니다. 트래픽 흐름 관점에서 인라인 센서보다 효율적입니다.

 

 

19. NIDS에 사용 가능한 방법은 이상 탐지 또는 오용 휴리스틱 탐지 기법 중 어떤 것인가? 혹은 둘 다 사용 가능한가?

오용 휴리스틱 탐지 기법입니다. Signature 기법, Heuristic 기법 등에서 많이 사용됩니다.

 

21. 허니팟의 높은 상호작용은 무엇인가?

운영체제, 서비스 응용프로그램을 완벽하게 장착한 실제 시스템으로 공격자가 접근할 수 잇는 위치에 배치되어 공격을 관측합니다.