침입 탐지 시스템 : IDS(Instrusion Detection System)
컴퓨터, 네트워크에서 발생하는 이벤트들을 모니터링하고 침입 발생 여부를 탐지 및 대응하는 자동화 시스템
설치 위치와 목적에 따라 호스트 기반(HIDS:Host-Based IDS)과 네트워크 기반(NIDS:Network-Based IDS)으로 나뉜다.
- 호스트 기반(HIDS)
컴퓨터 시스템의 내부를 감시하고 분석하는데 중점을 둠
운영체제에 설치된 사용자 계정에 따라 어떤 사용자가 어떤 접근을 시도하고 작업했는지에 대해 기록을 남기고 추적
네트워크에 대한 침입탐지는 불가능하며, 스스로 공격 대상이 될 때만 침입을 탐지하는 방식
트로이목마, 백도어 탐지- 네트워크 기반(NIDS)
네트워크를 통해 전송되는 패킷 정보 수집 및 분석하여 침입 탐지하는 시스템
IP주소를 소유하지 않아 직접적 해커 공격 거의 완벽히 방어
공격당한 시스템의 공격에 대한 결과는 알 수 없으며, 암호화된 내용 탐지 불가
| 장점 | 단점 |
|---|---|
| 내부 사용자의 오/남용 탐지 및 방어 가능 해킹사고 발생 시 어느 정도의 근원지 추적 가능 | 대규모 네트워크에 사용 곤란 관리 및 운영이 어려움 새로운 침입기법에 대한 즉각적 대응 곤란 보안사고에 대한 근본적인 해결책은 못 됨 |
침입 방지 시스템 : IPS(Instrusion Prevention System)
다양한 방법의 보안기술을 이용하여 침입이 일어나기 전에 실시간으로 침입을 막고 유해 트래픽 차단하기 위한 능동형 보안 솔루션
침입탐지 기능을 수행하는 모듈이 패킷을 일일히 검사하여 해당 패턴을 분석한 후, 정상적 패킷이 아니면 방화벽 기능을 가진 모듈로 차단
일반적으로 방화벽 내부에 설치한다(방화벽과 연동하여 공격을 탐지할 수 있기 때문)
- 지식기반(Signature Based IPS)
각각 공격에 대한 정확한 signature을 정의하고 해당 곡격 패턴에 매칭 되어야만 차단 시행
알려지지 않은 공격의 경우, 정확한 signature list가 업데이트되어 있지 않으면 차단이 불가능하다
오탐 가능성은 적다- 행위기반(Heuristics Based IPS)
알려지지 않은 공격을 수집하여 정보를 이용하고, 이 정보로 오탐을 줄이고 능동적으로 대처하는 방식
IDS/IPS 정리
| 구분 | IDS | IPS |
|---|---|---|
| 목적 | 침입 여부의 감지 | 침입 이전의 방지 |
| 패킷차단 | X | O |
| 패킷내용분석 | O | O |
| 오용탐지 | O | O |
| 오용차단 | X | O |
| 이상탐지 | O | O |
| 이상차단 | X | O |
| 특징 | 로그, 시그니처 기반의 패턴 매칭 | 정책, 규칭 DB 기반의 비정상행위 탐지 |
| 장점 | 실시간 탐지 사후분석 대응 | 실시간 즉각 대응 세션 기반 탐지 |
| 단점 | 변형된 패턴에 대한 탐지의 어려움 | 오탐 현생 발생 가능 고가의 장비 |
테이블을 보면,
IDS는 탐지적, 사후 조치를 취하는 기술이라 차단은 하지 않지만 탐지는 한다.
IPS는 예방적, 사전에 조취를 취하는 기술이라 차단과 탐지를 함께 한다.
- snort : 무료 오픈 소스 네트워크 침입 탐지 시스템이자, 침입 방지 시스템으로 실시간으로 트래픽 분석 및 패킷을 기록(IDS & IPS)
참고 자료
보안바라기
IDS와IPS 기초 개념
프론트엔드 개발자