hange Format)를 근간으로 하였기 때문에 IDMEF와 큰 차이점은 존재하지 않는다. 이와 같이 추진된 이유는 다음과 같다.
1. 보안의 특성상 국내만의 독특한 표준안이 정의되기 어렵고,
2. 세계 표준안과 호환되지 않는 표준을 지원하는 제품은 세계 시장에 진출하기 어렵다.
3. IDMEF의 표준안이 상당한 수준의 안정화가 되어 있기 때문에 앞으로 표준안이 변경되고 표준이 제정되더라도 큰 변경은 없을 것으로 판단하였다. 실제로 최근의 표준안은 변경을 살펴보면 로그 형식에 있어서 세부적인 항목 외에 전체적인 틀은 변경되지 않고 있다.
4. IDMEF에서 지적하고 있는 침입 탐지 시스템의 로그의 특성, 즉 제품의 다양성, 운영 환경의 다양성, 분석 능력의 다양성, 도구의 목적의 다양성 등에 기인하여 확장성과 융통성을 가진 객체 지향 모델이 다양한 보안 제품의 로그 표현의 모델로 적합하다고 판단되었다. 이를 위해서 UML(Unified Modeling Language)을 로그 표현의 모델로 사용하였다.
국내 표준에서 주목할 점은 다음과 같다. 첫째, 국내 표준은 IDMEF와 비교하여 반드시 필요하다고 생각되어지지 않는 정보에 대해서는 선택 요소로 정의하였고, 이 과정에 국내에 출시된 제품의 로그 형식을 반영하였다. IDMEF 자체에 선택 요소가 표시되어 있지만, 실제로 반드시 필요하지 않다고 판단되는 요소들에 대해서 추가적으로 선택 요소로 결정하거나 삭제하였다. 이를 위하여 표준 제정 과정에서 국내 3개 업체에서 제출된 침입 탐지 시스템의 로그 형식의 내용을 반영하였다.
둘째, IDMEF에서는 실제 구현 언어로 XML(eXtensible Markup Language)을 사용하였지만 국내 표준에서는 이 부분을 각 제품을 개발하는 각 업체의 결정 사항으로 남겨 두었다. 즉, XML을 사용한 텍스트 기반의 로그를 제공할지, 아니면 다른 형태의 로그를 제공할지, API 형태로 로그를 접근할 수 있도록 할지에 대하여 정하지 않고 실제 구현할 때 선택할 수 있도록 하였다. 실제 구현 언어와 구현 방법에 대하여 정의하지 않았기 때문에 제품들간의 상호 연동이 어려울 수 있다. 하지만, 한가지로 고정시키는 경우 특정한 방법으로 구현을 해야한다는 부담이 있기 때문에 표준안 사용에 장애가 될 수 있다. 이에 국내 표준에서는 구체적인 구현 언어는 지정하지 않고 로그의 형식만을 지정하여 차후에 구체적인 구현 방식이 지정될 때 그 방식으로 쉽게 변환할 수 있도록 하였다.
셋째, 자료의 표현 방식을 어떻게 할 것인가에 관한 문제이다. IDMEF에서는 XML을 구현 언어로 정의하였기 때문에 자료는 텍스트 형식으로 표현되는 것을 기본으로 하고 있다. 하지만, 국내 표준에서는 구현 언어나 구현 방법을 정의하지 않고 있기 때문에 자료의 성격(타입)만 정의하고 있지, 실제 어떤 방식으로 표현될 것인가에 대하여서는 정의하고 있지 않다.
넷째, 또 다른 중요 보안 제품인 침입 차단 시스템과의 연동을 고려하였다. 침입 차단 시스템에서 생성하는 로그의 형식을 침입 탐지 시스템의 로그와 유사한 형식으로 정의하였다.
로그 형식 표준의 내용을 간략하게 살펴보면 다음과 같다.
가장 상위에는 모든 종류의 로그를 총괄하는 IDMEF-Message 클래스가 있으며, 이 클래스로부터 파생된 Alert 클래스와 Heartbeat 클래스가 있다. Alert 클래스는 침입 탐지 시스템에 의해서 파악된 접속과 침입에 대한 경고를 나타내며, Heartbeat 클래스는 침입 탐지 시스템의 운영 정보에 관련된 정보를 생성하며, 일반적으로 주기적으로 생성하게 된다. Alert 클래스는 경고를 생성한 분석기에 대한 정보를 나타내는 Analyzer 클래스, 경고가 생성된 시각을 나타내는 CreateTime 클래스, 경고를 발생한 이벤트가 검출된 첫 번째 시각을 나타내는 DetectTime 클래스, 분석기의 현재 시각을 의미하는 AnalyzerTime 클래스, 경고를 일으킨 이벤트의 원천을 나타낸 Source 클래스, 경고를 일으킨 이벤트의 목표를 나타낸 Target 클래스, 경고의 이름 혹은 경고의 종류를 나타낸 Classification 클래스, 추가적인 정보를 나타내는 AdditionalData 클래스가 있다. 그림에 나타나지는 않았지만 이 Alert 클래스는 다시 도구에 의한 공격을 나타내는 ToolAlert 클래스와 경고 간의 상관 관계를 나타내는 CorrelationAlert 클래스로 확장된다.
한편Heartbeat 클래스의 경우에는 Heartbeat 메시지를 보낸 분석기의 정보를 의미하는Analyzer 클래스, Heartbeat가 생성된 시각을 의미하는 CreateTime 클래스, 분석기의 현재 시각을 의미하는 AnalyzerTime 클래스, 그 외의 추가적인 정보를 의미하는 AdditionalData 클래스로 구성된다. 이들 클래스들의 내부에는 각각의 클래스를 표시하기 위한 속성들이 있으며 자세한 정보는 표준에 자세하게 기술되어있다.
이상에서 설명한 바와 같이 전체적으로 국내 표준은 IDMEF의 표준안과 호환성을 유지하는 범위에서 국내의 실정을 반영하여 제정되었다. 또한 아직까지 IDMEF 표준안이 확정된 상태가 아니기 때문에 세계의 표준 동향을 파악하여 차후에 표준을 개정할 여지가 남아있다.
12. IDS 적용 사례
13. 결론
이상에서 IDS의 배경에서 보안기술의 동향 및 대강의 구현 개념들에 대해 살펴보았구고, ISO/IEC의 IDS 표준화 동향에 대하여 살펴보았다. 다룬 내용들은 침입탐지의 일반적 모델, 기능적/비기능적인 침입탐지의 특성들, 다수의 IDS가 상호 동작하는 방법, 침입탐지 분석 방법 등으로, ISO/IEC IDS 문서는 IDS 개발자에게는 공통된 개념 정리를, IDS 이용자에게는 자사 환경 하에서의 IDS 이용에 도움을 주는 것을 목적으로 한다.
정보화사회에서 정보보호는 이제 필수가 되었다. 이에 정보보호관리에 대한 인식의 확산과 함께 그 중요성이 더해지리라는 것은 자명한 일이다. 진정한 정보화 사회로의 발전을 위한 선결과제는 개인과 기업의 정보보호가 우선되어져야 하는 일 중의 하나이