본문 바로가기
정보보안/네트워크 보안

IDS 침입탐지시스템

by meanjung 2022. 2. 7.

개념

  • 방화벽의 부족함을 채우기 위해 외부 침입에 대한 정보를 수집, 분석해 침입을 탐지하고 관리자에게 알려 대응하는 시스템
  • 네트워크 공격의 증거를 찾기 위한 트래픽 분석의 역할로 시작했지만 점차 시스템의 침해여부를 보기 위해 로그를 조사해 파일을 분석하는 것이 되었고, 점차 허니팟 개념으로 확장 중에 있다. 

기능

  • 패킷 및 세션 분석 탐지
  • 프로토콜 이상 탐지
  • signature 및 이상 징후 탐지
  • 비정상 행위 및 비정상 트래픽 탐지

장점

  • 방화벽보다 적극적 방어
  • 내부 사용자의 오남용 탐지 및 방어 가능
  • 근원지 추적 가능

단점

  • 대규모 적용 어려움
  • 관리 및 운영 힘듦
  • 근본적 보안 사고의 해결책은 아님
  • 새로운 침입 방법에 대한 즉각적인 대응이 어렵다. 

실행 단계

  1. 데이터 수집
    • 탐지 대상(시스템 사용 내역, 패킷)으로부터 생성되는 데이터 수집
  2. 데이터 가공 및 축약
    • 수집된 데이터를 침입 판정을 할 수 있도록 의미있는 정보로 전환한다. 
  3. 침입 분석 및 탐지
  4. 보고 및 대응
    1. 침입으로 판정된 경우 이에 대한 적절한 대응을 자동으로 취하거나 보안 관리자에게 알려 조치한다. 

탐지 방법에 따른 분류

  • 규칙기반(지식기반, 오용 침입탐지)
    • 시스템 로그, 네트워크 입력정보, 알려진 침입방법, 비정상적인 행위 패턴 등의 특징을 비교해 탐지한다.
    • 기존의 침입 방법을 DB에 저장해뒀다가 사용자 행위 패턴이 기존의 침입 패턴과 유사한 경우 침입으로 판단
    • 새로운 공격이나 침입 방법이 출현했을 경우에는 그에 맞는 공격 패턴을 생성해 추가한다.
    • 장점
      • 오탐률(False positive)이 낮다.
    • 단점
      • 새로운 공격 탐지를 위해 지속적인 공격 패턴 갱신이 필요하다.
      • 패턴이 없는 새로운 공격에 대해서는 탐지가 불가능하다. 
  • 통계기반(행위기반, 비정상 행위 침입 탐지)
    • 정상적인 패턴을 수집하고 사용자가 패턴의 범위에서 벗어나는 경우 침입으로 탐지한다.
    • 장점 
      • 규칙기반 기법보다 DB 관리가 용이
      • 제로데이공격도 탐지할 수 있다.  
    • 단점
      • False-positive가 높다.
      • 정상과 비정상 구분을 위한 임계치 설정이 어렵다. 

데이터 수집원에 따른 분류

  • NIDS(Network-based)
    • 네트워크를 통해 전송되는 정보(패킷 헤더, 데이터 및 트래픽 양, 응용프로그램 로그)를 분석해 침입여부를 판단한다.
    • SW 또는 HW로 만들어진다.
    • NIC에 promiscuous mode를 이용해 패킷을 감시한다.
    • 독립된 시스템으로 운영된다. (ex. tcp dump를 기반으로 하는 침입탐지시스템 snort)
    • 장점
      • 감시 영역이 네트워크 전반
      • IP 주소를 갖지 않으므로 존재 사실을 외부로부터 숨길 수 있다. 
    • 단점
      • 암호화된 패킷을 분석할 수 없다. 
      • 고속 네트워크 환경에서는 패킷 손실율이 많아 탐지율이 떨어진다.
  • HIDS(Host-based)
    • 서버에 직접 설치되어 네트워크 환경과는 무관하다.
    • 컴퓨터 자체를 제한한다.
    • 기록되는 로그를 통해 호스트에 대한 침투를 탐지한다.
    • 장점
      • 정확한 탐지 가능
      • 암호화 및 스위칭 환경에 적합
      • 트로이 목마, 백도어, 내부 사용자에 의한 공격 탐지가 가능하다.
    • 단점
      • 해커가 로그를 변조하거나 dos 공격으로 IDS 무력화 가능
      • 네트워크 전반적인 탐지는 못하고 오직 자신이 공격당하는 것만 탐지한다.
      • OS 기반으로 호스트 성능에 부하 발생

설치 위치

  • 네트워크 어느 부분에도 설치될 수 있다. 
  • 외부 - ① - 라우터 - ② - 방화벽 - ③ - 라우터(내부 연결) -  ④ - 내부클라이언트 네트워크
  • 외부 - ① - 라우터 - ② - 방화벽 - ③ - 라우터(내부 연결) -  ⑤ - 내부서버 DMZ 네트워크
    • NIDS 또는 HIDS 모두 ①, ②, ③, ④, ⑤에 설치될수 있다.
      • ①에 설치 : 패킷이 내부로 가기 위해 들어오는 곳이므로 공격 의도를 쉽게 파악할 수 있다.
      • 에 설치 : 라우터의 패킷 필터링을 거친 후의 패킷들을 검사한다.
      • 에 설치 : 가장 많이 설치되는 위치. 방화벽과 연동하여 공격 탐지 가능
      • 에 설치 : 방화벽이 외부의 침입을 1차로 차단하고 내부 클라이언트 보호하기 위한 위치
      • 에 설치 : DMZ에 IDS를 설치하는 것은 중요한 데이터 손실이나 서비스 중단을 막고 정말 뛰어난 외부 공격자나 내부 공격자들로부터 보호하기 위한 것.

 

 

 

출처 : https://catchingitsecure.tistory.com/4
출처 : https://blog.naver.com/PostView.nhn?blogId=ljs1027s&logNo=222222190878

http://vnfmsehdy.blogspot.com/2016/08/26-ids-ips.html

 

정보보안기사 정리 27 - IDS, IPS, 방화벽, 웹 방화벽

IDS(개요, 분류, NIDS, HIDS, 설치위치, 허니팟), IPS(개요, 분류, NIPS, HIPS, 설치위치), 방화벽(유형(패킷 필터링 방화벽, 스테이트풀 패킷 검사 방화벽, NAT, Proxy 방화벽), 방화벽 배치(Bastion Host,...

vnfmsehdy.blogspot.com

 

'정보보안 > 네트워크 보안' 카테고리의 다른 글

snort 설치 방법  (0) 2022.02.08
firewall 방화벽, 침입차단시스템  (0) 2022.02.07

관련글

댓글

티스토리툴바