IDS (Intrustion Detection System, 침입탐지시스템)
- 네트워크나 시스템으로 들어오는 트래픽을 모니터링하고 이상 행위나 악성 행위를 탐지하는 시스템
- IDS는 네트워크에서 발생하는 패킷, 로그, 이벤트 등을 분석하여 알려진 공격 패턴이나 비정상적인 동작을 탐지하고 관리자에게 경고를 보내어 보안 문제에 대응할 수 있게 함
IPS (Intrustion Prevention System, 침입방지시스템)
- IDS의 확장으로, 탐지된 보안 위협에 대응하여 해당 트래픽을 차단하거나 방지하는 기능을 제공하는 시스템
- IPS는 탐지된 악성 트래픽이나 공격을 실시간으로 인식하여, 해당 트래픽을 차단하고 시스템이나 네트워크의 안전을 유지하기 위해 대응 조치를 취함
- 미리 정의된 보안 정책에 따라 동작하며, 자동화된 보안 기능을 통해 공격자의 활동을 감지하고 차단 수행
DPI (Deep Packet Inspection)
- IPD/IPS와 같은 네트워크 보안솔루션에서 비정상 트래픽을 탐지하기 위해 네트워크 패킷의 헤더 뿐만 아니라 페이로드(헤더를 제외한 부분을 지칭)에 포함된 데이터까지 심층적으로 분석하는 개념 및 기술
공격 탐지 방법
오용탐지(Misuse Detection)
- 기존에 알려진 공격 데이터 패턴이나 유사성을 확인하여 탐지, 대부분의 상업용 IDS/IPS에서 사용되는 방법
비정상 행위 탐지 (Anomaly Detection)
- 정상적인 행위와 비교하여 비정상 행위를 하는 경우를 탐지
패턴 기반(Signature-based) 감지
- 패턴 기반 감지는 이미 알려진 공격 패턴이나 악성 코드의 시그니처를 기반으로 탐지
- 알려진 공격에 대해서는 효과적이지만, 새로운 혹은 변형된 공격이나 악성 코드에 대해서는 탐지의 한계를 가짐
행위 기반(Behavior-based) 감지
- 행위 기반 감지는 네트워크나 시스템의 정상적인 동작 패턴을 학습하고, 비정상적인 행위를 탐지하여 침입을 식별하는 방법
- 시스템이나 사용자의 일반적인 동작 패턴을 분석하고, 이를 기준으로 비정상적인 행위를 탐지
- 특정 사용자가 일반적인 행동 패턴과 다른 방식으로 파일을 수정하거나 접근한다면 비정상적인 행위로 감지
- 행위기반 탐지는 알려진 패턴에 의존하지 않으며, 새로운 혹은 변형된 공격에 대해서도 탐지가능할 수 있지만 오탐이 패턴기반 감지 방식보다 많음
* 장비의 성능 영향이 큼
침입 탐지 대상에 따른 분류
단일 호스트 기반
- 단일 호스트에서 발생하는 침입 및 공격을 탐지하고 차단
- 호스트의 사용내역이 기록되어지는 자체의 로그 파일이 있으므로 이 파일들로부터 관련 정보들을 수집 가능
다중 호스트 기반
- 여러 호스트에서 발생하는 침입 및 공격을 탐지하고 차단
- 여러 호스트의 로그 정보를 호스트 간의 통신을 통해 취합하는 기술이 필요
네트워크 기반
- 네트워크상의 패킷을 빠짐없이 수집하여 침입 및 공격을 탐지하고 차단
- 수집된 패킷들을 프로토콜별로 분리하여 해석할 수 있는 기술이 요구
IDS/IPS 시스템의 동작 단계
정보 수집 단계 (Raw Data Collection)
- 침입 탐지를 위한 데이터를 어디에서 수집하는 가에 따른 분류
- 단일 호스트 기반, 다중 호스트 기반, 네트워크 기반 침입탐지 시스템
- 여기에서 얻어지는 데이터들로 시스템 사용 내역, 컴퓨터 통신에 사용되는 패킷 등이 있음
- 네트워크 패킷과 세션 정보 등을 수집함
정보 가공 및 축약 단계 (Data Reduction and Filtering)
- 수집된 정보에서 필요한 정보만 뽑아 의미 있는 정보로 가공함
- 일련의 데이터(Raw Data)들로부터 침입 판정이 가능할 수 있도록 의미 있는 정보로 전환시키는 단계가 필요
- 다음 단계인 분석 및 침입탐지 단계와 상호 의존적인 관계
- 정보 가공 및 축약 단계에서 잘 여과되고 다듬어진 형태의 정보를 토대로 분석 및 침입탐지가 이루어지기때문
- 관건 사항은 얼마나 빨리 침입탐지에 필요한 의미 있는 정보만을 골라내는가에 달려있다.
분석 및 침입탐지 단계 (Analysis and Intrusion Detecion)
- 수집된 데이터를 잘 가공하고 의미 있는 정보만을 넘겨받아 이를 분석하여 침입 여부를 판정하는 단계
- 오용탐지 또는 행위 탐지 기법들을 적용하여 공격을 탐지하여 분류함
- 침입탐지 시스템의 핵심 단계
보고 및 조치 단계 (Reporting and Response)
- 침입 여부를 판정하여 침입으로 판단되면 자동으로 해당 데이터를 차단하거나 관리자에게 경고를 보냄
- 관리자는 이에 대하여 적절한 조치를 취해야 함
- 조치 사항이나 경고 메시지나 정해진 호출기로의 호출 등의 방법으로 침입을 알림
- 공격에 대해 콘솔 뿐만 아니라 E-mail, SMS, SNMP 등을 통해 공격 탐지를 알리고 보안 담당자가 해당 공격을 확인 후 차단할 수 있음
- 자동 차단 정책을 미리 구성해두면 구성해둔 정책에 따라 자동으로 해당 데이터 차단을 수행함
IDS/IPS 시스템 특징
| Stealth 모드 지원 | 시스템이 탐지되지 않도록 하는 모드로, 네트워크 상에서 자신의 존재를 숨기면서 트래픽을 모니터링하고 분석 |
| Session drop 기능 | 세션을 종료시키는 기능으로, 비정상적인 활동이 탐지되었을 때 해당 세션을 강제로 종료시켜 더 이상의 악의적인 활동을 차단 |
| Process 종료 | 악성 프로세스를 강제로 종료시켜 시스템을 보호하는 기능 |
| 백도어 탐지 | 시스템 내에서 백도어가 설치되었는지를 탐지하고 제거 |
| Alert | - H-IDS(IPS, 호스트기반): 감시 대상이 되는 host에 탑재 - N-IDS(IPS, 네트워크기반): 지나가는 트래픽을 볼 수 있는 감시 대상이 되는 네트워크단에 설치 (전문장비) |
| 각종 공격 탐지 | 공격을 시도할 때 특정한 코드 값을 보내게 되는데 이를 알아내어 탐지 |
| 방화벽 연동 | 탐지한 공격 패턴을 방화벽에 전달함으로써 유사 공격을 원천적으로 차단 가능 |
| 사용 편리성 제공 (GUI 제공) | 사용자 인터페이스를 통해 시스템을 쉽게 관리하고 설정할 수 있는 기능 제공 |
| 오용 침입탐지 | 현재까지 알려져 있는 공격의 진행방법과 유형들을 파악 반영 |
| 침입 유형과 시나리오 획득 | 기존에 알려진 침입 방법들을 시험하고 분석하여 정형화된 형태의 침입탐지 규칙이나 패턴을 생성 |
| 침입 판정에 대한 오탐 존재 | - 침입이라 판정하였는데 실제는 침입이 아닌 경우 (False-Positive Error) - 침입이 아니라고 판정하였는데 실제로는 침입인 경우 (False-Negative Error, x됨) - 에러율을 줄이기 위한 지속적인 연구 개발이 진행 |
IDS/IPS 시스템의 기능
| 트래픽 차단 | 웜/바이러스 및 스팸 메일, P2P 및 메신저 통신 등에 대한 비정상 네트워크 트래픽의 정확하고 신속한 탐지 및 차단 기능 |
| 트래픽 분석 | 실시간 네트워크/시스템 부하량 모니터링 및 프로토콜/서비스/IP별 네트워크 트래픽 트랜드 상세분석 |
| 트래픽 추적 | 유해 정보 차단 및 내부정보 유출 차단과 해킹추적기능 |
| 라이브 업데이트 | 신규 취약점, 위협에 대한 빠른 Update 기능 |
| 침입패턴 DB | 자체적, 혹은 연계된 보안 연구조직을 통해 고품질의 보안 컨텐츠(위협 및 취약성 정보)를 지속적으로 공급 받아 미래의 위협에 적절하게 사전대응(preemptive Protection)할 수 있도록 침입패턴 DB를 보유 |
| 어플라이언스 | IPS에 최적화된 어플라이언스를 통해 자체 OS Hardening 기능 제공 |
| 유해사이트 모니터링 |
유해사이트에 대한 실시간 모니터링 및 로깅 기능 |
결론
IDS와 IPS의 결정적 차이는 실시간 차단이다. IDS는 실시간 차단이 되지 않고 탐지만 되며, IPS는 실시간 탐지 및 차단이 된다. IDS에서 공격을 차단하기 위해선 탐지한 것을 방화벽에 따로 전달하여 방화벽이 정책을 만들어야하며, IDS와 방화벽의 버전도 잘 맞아야한다. 요즘엔 IPS가 보편화 되어 있기 때문에 거의 사용하지 않는다.