lids는 linux intrusion detector system의 약어로 리눅스 침입탐지시스템을 의미합니다.

1. 개요

침입 탐지는 이름에서 알 수 있듯이 침입 행위를 탐지하는 것입니다. 컴퓨터 네트워크나 컴퓨터 시스템의 여러 핵심 지점에서 정보를 수집하고 이를 분석하여 네트워크나 시스템에 보안 정책 위반 여부와 공격 징후가 있는지 찾아냅니다. 침입 탐지를 위한 소프트웨어와 하드웨어의 조합이 침입 탐지 시스템(IDS)입니다. 침입탐지시스템은 다른 보안제품과 달리 더 많은 지능을 요구하며, 획득한 데이터를 분석하고 유용한 결과를 도출할 수 있어야 합니다. 검증된 침입 탐지 시스템은 관리자의 작업을 크게 단순화하고 네트워크의 안전한 작동을 보장할 수 있습니다.

로그는 시스템의 원활한 작동을 보장하는 중요한 역할을 합니다. 이는 시스템에서 무슨 일이 일어나고 있고 일어나지 않는지 알려줍니다. 그러나 로그 기록의 증가 속도가 너무 빨라 시스템 관리자를 혼란스럽게 만들고, 결국 로그는 디스크 공간을 많이 낭비하는 쓰레기가 된다. 로그는 대체할 수 없는 가치가 있지만 불행히도 시스템 관리자가 많은 양의 정보를 검토할 시간이 제한되어 있기 때문에 무시되는 경우가 많습니다. 표준 로깅 기능은 로그 기록을 자동으로 필터링 및 검사하지 않으며 시스템 관리자가 요구하는 정보를 제공하지 않습니다.

침입자에게 가장 먼저 해야 할 일은 침입한 흔적을 제거하는 것이다. 이를 위해서는 침입자가 루트 권한을 얻어야 하며, 시스템 로그가 수정되면 공격을 추적할 수 없습니다. 따라서 유능한 시스템 관리자는 로그 파일 탐지를 설정해야 합니다. Logcheck, Swatch 등 로그 감지 기능을 구현할 수 있는 도구가 많이 있습니다. 이번 글에서는 Logcheck와 Swatch를 하나씩 소개하겠습니다.