컴퓨터 보안 - [IDS]

💡IDS?
:IDS는 Instrusion Detection System의 약자로 직역하면 침입 탐지 시스템이다.

:침입행위에 대한 탐지를 수행하고, 탐지시 대응할 수 있도록 지원하는 시스템

침입에는 다음 상황이 포함된다.

1. 시스템이 허가되지 않은 방식으로 내부 자원에 접근

2. Login시도 -> ID, PWD 추측

3. 불법적으로 데이터 도용을 시도 (rootkit)

4. Root/관리자 권한 획득 시도

5. 메일발송 실행파일을 숨기고, 메일 전송 시도
   -> 시스템에 악성파일을 숨기고, 사용자의 이메일을 통해 스팸메일을 보낸다.

6. Backdoor 접근 시도

---

Packet Filltering

패킷 필터링은 네트워크에서 전달되는 데이터 패킷을 검사하여 특정 규칙에 따라 허용하거나 차단하는 보안 기술이다.

작동방식

: TCP/IP 헤더만을 기반으로 작동하며, 패킷의 출발지, 목적지의 IP주소, 포트번호, 프로토콜 정보를 분석한다.

• 세션 간 상관관계 없음: 각 패킷을 독립적으로 검사해 세션관의 상관관계를 신경쓰지 않는다.
• 성능이 우수하고 설정이 간단하다 // 복잡한 공격은 차단하지 못한다.

IDS (Instruction Detection System)

작동방식

: IDS는 다양한 기법을 이용해 트래픽을 분석하고, 의심스러운 패턴이나 공격 시그니처(알려진 공격)를 기반으로 침입을 탐지한다.
: 패킷의 상태를 보고 필터링 한다.

1. Signature-based detection(시그니처 기반 탐지)

침입 사건들을 패턴화 한다 - signature

signature Example

• 실행파일 첨부 메일의 유형
• 파일 읽기 시도 패턴
• 로그인 시도 유형

장점

• 알려진 공격(signature)에 효과적이다

단점

• unknown-Attack에 취약하다.
• 새로운 Attack이 있을때마다 signature을 생성해야한다.
• 일반적으로 false negative rate가 높다

2. Anomal-based dectection

정상범위를 벗어나는 사건을 탐지한다.

Annomal Example

• 휴일에 traffic량이 평소보다 20%증가
• 일반 사용자가 갑자기 1000통 메일 발송
• 특정 호스트에 단시간 주문요청 100%증가
• 국내 사용자 카드가 해외에서 결제

장점

• Machine Learning을 통해 처리할 수 있다.
• unknown attack에 효율적이다.

단점

• 정상범위 정의가 어렵다
• 비정상 탐지까지 기다려야 한다.

작동 타입

1. Network-based IDS

Networkd 망 곳곳에 traffic을 모니터링, 분석하여 침입을 탐지

장점

• Host 부하가 적다 (하나의 NIDS로 여러 host보호)
• 조기 탐지가 가능하다
• 취약한 부분의 packet을 정밀분석하여 다양한 침입을 탐지한다.

단점

• 각 host내부는 탐지 제한
• 전체 network망에 부하

2. Wireless IDS

• 무선통신 WLAN 네트워크망의 traffic을 분석한다
• +)무선통신의 취약성 위협 탐지
• -)Network 부하, 비용(이게 들어가야해서 기업용 네트워크는 훨씬 비쌈)

3. Host-based IDS

특정 호스트 컴퓨터 내부를 모니터링, 분석하여 탐지

• 로그분석, 파일 시스템 기록분석, 실행코드 분석
• 알약, 백신 등등
• +) 악성 sw 탐지에 용이하다.
• +) 내부 공격자 탐지
• -) 각 host마다 다르다
• -) host부하

4. Distributed Host-based IDS

여러 HIDS들이 연계하여 전체적으로 host를 분석하여 탐지

ex) IOT처럼 연결이 되어있을 경우, 하나에서 문제가 생기면 다른쪽에 정보를 준다. 예를들어, 컴퓨터 알약(HIDS)에서 문제가 생기면, 티비, 핸드폰 알약에 정보를 준다.

• +) 효율적이고 정확하다
• +) 공격들의 연관관계를 파악하는데 용이하다
• -) HIDS보다 복잡하고 비용이 든다.

---

Honey Pot

• 의도적으로 해커의 침입을 유도하는 시스템 및 서버

• 해커들의 정보를 수집하고, 공격유형을 파악하고, 대응 전략을 수립한다. 또한 법적 증거를 수집한다.

• 해커들의 signature을 얻을 수 있다.

• 비정상 범주의 데이터를 얻을 수 있다.

• 해커들의 정보를 분석, 예측할 수 있다.

단점 : 관리가 매우 어렵다.

IPS (Intruction Prevention System)

침입 방지 시스템

• IDS(침입 탐지 시스템)에 침입방지 기술이 더해진 것이다.
• IDS로 이상활동이 감지되면 계정을 차단하거나 연결을 끊는다.
• 당연하지만 IDS보다 IPS가 비싸다.