IDS와 IPS
IDS(침입탐지 시스템)¶
외부 침입에 대한 정보를 수집하고 분석하여 침입 활동을 탐지해 이에 대응하도록 보안 담당자에게 통보하는 기능을 수행하는 네트워크 보안시스템
| 장점 | 단점 |
|---|---|
실행 단계¶
- 데이터 수집
- 탐지대상(시스템 사용내역, 패킷)으로부터 생성되는 데이터 수집
- 데이터 가공 및 축약
- 수집된 데이터를 침입 판정이 가능하도록
의미있는 정보로 전환 - 침입분석 및 탐지
- 비정상적 행위 탐지 기법, 오용 탐지 기법, 하이브리드 탐지 기법
- 보고 및 대응
- 시스템을 침입했다고 판정된 경우 적절한
대응을 하거나 관리자에게침입사실 보고
지식기반 침입탐지¶
규칙기반,오용 침입탐지라고도 함- 기존의 침입방법을 DB에 저장해두었다가 사용자의
행위 패턴이 기존 침입 패턴과 일치하거나 유사한 경우 침입으로 판단 - 새로운 공격이나 침입 방법 출현시 그에 맞는 공격패턴 생성하여 추가
| 장점 | 단점 |
|---|---|
종류¶
- 전문가 시스템
- 침입 또는 오용의 패턴을 실시간으로 입력되는
감사정보와 비교하여 침입을 탐지 - 상태전이 모델
- 공격 패턴에 따라 시스템의 상태 변화를 미리
상태전이도로 표현 후 실시간으로 시스템의 상태 변화를 추적하여 침입상태를 감시 - 패턴 매칭
- 알려진 공격 패턴을
시나리오형태로 DB에 저장한 후 발생하는 사건의 패턴을 비교
행위기반 침입탐지¶
통계적 변형,비정상행위 침입탐지라고도 함- 정상적 행위에 대한 정의들과 비교해 심각한 수준의 일탈행위를 식별하는 방식
| 장점 | 단점 |
|---|---|
인공지능 알고리즘 사용으로 수작업의 패턴 업데이트 불필요알려지지 않은 공격(Zero-Day Attack)도 탐지 가능 |
임계치 설정 어려움 |
종류¶
- 통계적 분석
- 사용자/시스템 행위의 이전 정보를 기반으로 정상행위를 주기적으로 갱신
- 예측가능한 패턴 생성방법
- 기존의 정상적인 패턴과 현재 사건 간의
패턴을 비교하여 탐지 - 신경망 모델
- 사용자의 행위 정보를
학습하여, 입력된 사건 정보를 사용자의 행위 정보와 비교하여 탐지
대응방법에 따른 분류¶
- 능동적 대응
- 침입에 대해 가장 빨리 실행할 수 있는 행동으로 침입에 의한 손실을 줄일 수 있게 함
- 하지만
오경보를 많이 발생시켜 시스템의 가용성을 저하시킬 수 있음 - 수동적 대응
- 대량의 정보를 수집하는 형태를 취하거나 권한을 가진 사용자에게 엄격한 조치를 취할수 있도록 통보하는 형태
데이터 수집원에 따른 분류¶
NIDS(Network-based IDS)¶
네트워크를 통해 전송되는 패킷 정보를 수집/분석하여 침입을 방지
| 장점 | 단점 |
|---|---|
HIDS(Host-based IDS)¶
호스트 시스템으로부터 생성되고 수집된 감사 자료로 침입을 방지
| 장점 | 단점 |
|---|---|
탐지 시점에 따른 분류¶
- 사후분석 시스템
- 고전적인 IDS 방식
- 수집된 데이터를 정해진 시간에만 분석
- 즉시 대응 불가
- 실시간 탐지 시스템
- 실시간 정보수집과 동시에 감사 데이터 발생, 침입 탐지가 이루어짐
- 대응책을 바로 실행
IDS의 위치¶
IDS는 목적에 따라 여러 곳에 설치가 가능
- 패킷이 라우터로 들어오기 전
- N/W에 실행되는 모든 공격을 탐지 가능
- 모든 공격을 탐지하는 만큼 많은 패킷을 수신하므로
치명적 공격에 대처 어려움 - 라우터 뒤
- 라우터의
패킷 필터링을 거친 후에 들어온 패킷 검사 - 방화벽 뒤
- 네트워크에 직접 영향을 주므로 탐지되는 공격에 대한
정책과 방화벽과의 연동성이 가장 중요 - 만약 NIDS를 한 대만 설치해야할 경우 여기에 설치해야 함
- 내부 네트워크
- 방화벽은 외부에서 들어오는 패킷을 탐지하지만 내부는 무방비
내부 N/W의 해킹을 감시하고자 할 때 설치- DMZ
- DMZ는 외부인터넷에 서비스를 제공하는 서버가 위치하는 N/W
- 매우 능력이 뛰어난 외부 공격자와 내부 공격자에 의한 데이터 손실이나 서비스 중지를 막음
IDS의 응용¶
긍정오류와 부정오류¶
침입자와 정상적인 사용자와의 행위 패턴이 겹치는 부분이 존재하므로 침입 탐지를 실제로 적용할 때는 절충과 기술의 요소가 적절히 사용되어야 함
- 긍정오류: 합법적인 사용자를 침입자로 판단(침입자의 행동을 넓게 잡았을 경우)
- 부정오류: 침입자를 합법적인 사용자로 판단(침입자의 행동을 좁게 잡았을 경우)
허니팟¶
자료를 가진 호스트인 것처럼하고 일부러 취약점을 만들어 해커를 유인하는 시스템
| 장점 | 단점 |
|---|---|
목적¶
- 중요 시스템에 접근하는 공격자를
다른 방향으로 돌림 - 공격자의
동작 정보 수집 - 관리자가 반응할 수 있도록 공격자가 시스템에 충분히 오랜 시간 동안 머무르기를 유도
스노트¶
일종의 IDS로 다양한 공격과 스캔 탐지 가능
- 실시간 트래픽 분석, 프로토콜 분석, 내용검색/매칭, 침입탐지 Rule에 의거하여 오버플로우, 포트스캔, CGI 공격, OS 확인 시도 등
룰 헤더¶
처리방식, 프로토콜, IP주소, 포트번호 등 처리할 패킷을 판단하는 기준 명시
action
| 옵션 | 설명 |
|---|---|
| alert | alert를 발생시키고 로그를 남긴다 |
| log | 패킷을 로그에 남긴다 |
| pass | 패킷을 무시한다 |
| active | alert 발생, dynamic rule 활성화 |
| dynamic | active rule에 의해 활성화되고 log, rule과 동일하게 동작 |
| drop | 패킷 차단 후 로그에 남긴다 |
| reject | 패킷을 차단하고 로그에 남긴 후 TCP일 경우 TCP Reset 전송, UDP일 경우 ICMP port unreachable 전송 |
| sdrop | 패킷을 차단하지만 로그는 남기지 않음 |
protocol
TCP, UDP, ICMP, IP 중 선택
IP Address
,: 복수개 표현!: 부정연산자any: 모든주소
Port
:숫자= 숫자 포트 이하숫자:숫자 포트 이상
Direction
-><>: 출발지와 목적지를 오가는 모든 패킷
룰 바디¶
alert 메시지나 패킷 메시지를 조사하기 위한 내용 기술
| 옵션 | 설명 |
|---|---|
| msg | alert 로그 출력시 이벤트 명으로 사용 |
| content | 패킷의 payload 내부 검색하는 문자열 |
| offset | content로 지정한 문자열의 검색 시작 오프셋 |
| depth | offset로부터 검사할 바이트 수 지정, 빠른 검색을 위해서는 사용을 권장 |
| sid | 룰 식별자 |
| flow | established : 통신이 established 된 패킷만 stateless : 상태 상관없이, 비정상 무작위 공격 대비 |
| rev | rule 버전번호로 수정 횟수 표기 |
IPS(침입방지 시스템)¶
다양한 보안기술로 침입이 일어나기 전에 실시간으로 침입을 막음
- 트래픽을 차단하기 위한 능동형 보안 솔루션
- 취약점을 능동적으로 사전에 보완하며 웜이나 버퍼 오버플로우, 비정상적 트래픽, 제로데이 공격까지 차단
필요성¶
- 방화벽이나 IDS만으로는 속도 때문에 해킹이나 바이러스, 웜에 대한 공격을 막기 어려움
- 실시간 침입방지 시스템으로 OS단에서 실시간 방어와 탐지 기능 지원
Firewall, IDS, IPS 비교¶
| 구분 | Firewall | IDS | IPS |
|---|---|---|---|
| 목적 | 접근통제 및 인가 | 침입여부 감지 | 침입 이전의 방지 |
| 특징 | |||
| 패킷 차단 | O | X | O |
| 패킷 내용분석 | X | O | O |
| 오용 방지 | X | O | O |
| 오용 차단 | X | X | O |
| 이상 탐지 | X | O | O |
| 이상 차단 | X | X | O |
| 장점 | |||
| 단점 |
Last update :
4 juin 2023
Created : 1 juin 2020
Created : 1 juin 2020