침입탐지시스템 (IDS : Intrusion Detection System)
컴퓨터 네트워크나 시스템의 트래픽을 실시간으로 모니터링하여 비정상적인 행동이나 침입 시도를 탐지하는 시스템이다.
-설치 위치와 목적에 따라 호스트 기반과 네트워크 기반의 침입탐지 시스템으로 나뉜다.
-
호스트 기반(HIDS : Host-based IDS)
컴퓨터 시스템의 내부를 감시하고 분석하는데 중점이다. -
네트워크 기반 (NIDS : Network-based IDS)
네트워크를 통해 전송되는 패킷 정보 수집 및 분석하여 침입을 탐지하는데 중점이다.
탐지 방식
- 시그니처 기반(정확한 공격 패턴을 기반)
- 비시그니처 기반(이상 행위를 기반)
주요기능
- 트래픽 및 로그 모니터링 : 네트워크 트래픽과 시스템 로그를 지속적으로 감시한다.
- 비정상적 행동 탐지 : 비정상적인 패턴이나 활동을 분석하여 탐지한다.
- 알림 : 공격이 감지되면 관리자에게 즉시 알림을 보낸다.
장단점
장점 : 다양한 공격 탐지 가능, 시스템 부담 적다.
단점 : 공격 차단 불가, 경고 후 수동 대응 필요하다.
침입방지시스템 (IPS : Intrusion Preventing System)
공격탐지를 뛰어넘어 탐지된 공격에 대한 웹 연결 등을 적극적으로 막아주는 시스템이다.
-침입탐지 기능을 수행하는 모듈이 패킷을 일일히 검사하여 해당 패턴을 분석한 후 정상적인 패킷이 아니면 방화벽 기능을 가진 모듈로 차단하고 일반적으로는 IPS는 방화벽 내부에 설치되어 있다.
탐지 방식
- 실시간 대응으로 공격이 탐지되면 즉각적으로 트래픽을 차단하거나 필터링한다.
- 탐지 방식은 IDS와 유사하지만, 공격을 차단하는 기능 포함한다.
주요기능
- 실시간 공격 탐지 및 차단 : 공격이 발생하면 즉각적으로 탐지하고 차단한다.
- 정책 기반 차단 : 설정된 보안 정책에 따라 공격을 자동으로 차단한다.
- 예방적 보안 대응 : 잠재적인 공격을 사전에 차단하여 보안을 강화한다.
장단점
장점 : 실시간 차단, 예방적 보안 강화한다.
단점 : 잘못된 탐지 시 정상 트래픽 차단 할 수 있다.
IDS/IPS 사용처
- IDS는 주로 모니터링과 분석에 사용
- IPS는 실시간 보안 대응에 사용
공부일지