IDS와IPS 기초 개념

침입 탐지 시스템: IDS(Instrusion Detection System)

컴퓨터 또는 네트워크에서 발생하는 이벤트들을 모니터링하고 침입 발샹여부를 탐지 및 대응하는 자동화 시스템 

IDS는 원본 트래픽을 손실이나 변조 없이 복사해주는 장비인 TAP로 트래픽을 검사하는 구조 트래픽 유통에는 전혀

관여하지 않는 Out of Path 방식으로 이루어져 있다. 

IDS는 방화벽과 연동하여 공격을 차단하는 소극적인 방어가 가능하다

IDS와 IPS의 핵심 기능은 사전에 정의된 룰과 트래픽의 비교를 통해 보안 위협을 찾아낸다. 

 

IDS 실행 단계 순서

1. 데이터 수집 -> 2. 데이터 가공 및 축약 -> 3. 침입분석 및 탐지 단계 -> 4. 보고 및 대응 

 

탐지 방법에 의한 분류 

 

데이터 수집원에 의한 분류

 

네트워크 기반 IDS(Network-Based IDS) 

NIDS는 감지기를 이용하며 이것은 소프웨어가 설치된 컴퓨터나 혹은 전용 어플라이언스 장비이다.

무차별 모드에서 동작하는 네트워크 인터페이스(NIC)에 설치되어 있다.

 

호스트 기반 IDS(Host-Based IDS) 

NIDS는 네트워크 트래픽을 분석하고 모니터링 하는데 반하여 HIDS의 목적은 컴퓨터 자체를 제한하는데 차이가 있다. 

 

탐지시점에 따른 분류

사후 분석 시스템: IDS에서 수집된 데이터를 분석하여 침입 여부를 판정하는 시스템 침입이 발생하더라도 즉시 대응하지 못하는 한계가 있다.

실시간 탐지 시스템: 실시간 정보수집과 동시에 감사 데이터 발생과 침입 탐지가 이루어진다. 

 

IDS의 장/단점 

 

침입 방지 시스템: IPS(Instrusion Prevention System)

다양한 방법의 보안기술을 이용하여 침입이 일어나기 전에 실시간으로 침입을 막고 유해 트래픽을 차단하기 위한 능동형 보안 솔루션

IPS는 예방적이고 사전에 조치를 취하는 기술이며 반면에 IDS는 탐지적이고 사후에 조치를 취하는 기술 

IPS는 기존의 트래픽 유통에 직접 관여해야만 한다. 트래픽은 IPS를 거쳐야만 유통이 가능하며 이러한 방식을 'InLine'방식이라고 부른다. 

 

IPS의 종류

공격 패턴 인지 방식에 의한 분류

적용 범위

방화벽의 룰은 TCP/IP 2개 계층에 적용되는데 IDS/IPS 룰은 3개 계층에 적용된다. IDS/IPS는 IP주소와 PORT 번호 TCP/IP 응용계층의 데이터까지 검사가 가능하다. 이러한 방식을 패턴 매치 기법이라고 한다. 

 

Snort의 룰 구조

IDS/IPS는 사실상 기술 표준인 Snort의 룰 구조이다. Snort룰은 크게 헤더와 옵션으로 나누는데

IDS/IPS는 문자열패턴을 검사할 수 있는 룰 옵션구조를 이용하여 패킷의 데이터 영역까지 검사하게 되는데

방화벽과 차별화가 이루어진다.

 

-role 헤더: 송/수신 방향이 주어진 롤 헤더

-role 옵션: 공격방식을 검사하는 값, IDS/IPS는 문자열 패턴 검사로 롤옵션 구조를 이용해서 패킷 데이터를 검사한다. 

 

IDS/IPS의 비교

IDS/IPS는 네트워크 전체를 감시하는 범용적인 보안 솔루션이다. 또한 IDS/IPS는 패턴 매치 기법을 이용하는 룰 기반 보안 솔루션의 특성 때문에 보안관제 업무의 핵심이라고도 할 수 있다.