IDS(침입탐지시스템), IPS(침입방지시스템)

IDS (Intrustion Detection System, 침입탐지시스템)
- 네트워크나 시스템으로 들어오는 트래픽을 모니터링하고 이상 행위나 악성 행위를 탐지하는 시스템
- IDS는 네트워크에서 발생하는 패킷, 로그, 이벤트 등을 분석하여 알려진 공격 패턴이나 비정상적인 동작을 탐지하고 관리자에게 경고를 보내어 보안 문제에 대응할 수 있게 함

IPS (Intrustion Prevention System, 침입방지시스템)
- IDS의 확장으로, 탐지된 보안 위협에 대응하여 해당 트래픽을 차단하거나 방지하는 기능을 제공하는 시스템
- IPS는 탐지된 악성 트래픽이나 공격을 실시간으로 인식하여, 해당 트래픽을 차단하고 시스템이나 네트워크의 안전을  유지하기 위해 대응 조치를 취함
- 미리 정의된 보안 정책에 따라 동작하며, 자동화된 보안 기능을 통해 공격자의 활동을 감지하고 차단 수행

DPI (Deep Packet Inspection)
- IPD/IPS와 같은 네트워크 보안솔루션에서 비정상 트래픽을 탐지하기 위해 네트워크 패킷의 헤더 뿐만 아니라 페이로드(헤더를 제외한 부분을 지칭)에 포함된 데이터까지 심층적으로 분석하는 개념 및 기술

공격 탐지 방법
오용탐지(Misuse Detection)

- 기존에 알려진 공격 데이터 패턴이나 유사성을 확인하여 탐지, 대부분의 상업용 IDS/IPS에서 사용되는 방법
비정상 행위 탐지 (Anomaly Detection)

- 정상적인 행위와 비교하여 비정상 행위를 하는 경우를 탐지

패턴 기반(Signature-based) 감지
- 패턴 기반 감지는 이미 알려진 공격 패턴이나 악성 코드의 시그니처를 기반으로 탐지
- 알려진 공격에 대해서는 효과적이지만, 새로운 혹은 변형된 공격이나 악성 코드에 대해서는 탐지의 한계를 가짐

행위 기반(Behavior-based) 감지
- 행위 기반 감지는 네트워크나 시스템의 정상적인 동작 패턴을 학습하고, 비정상적인 행위를 탐지하여 침입을 식별하는 방법
- 시스템이나 사용자의 일반적인 동작 패턴을 분석하고, 이를 기준으로 비정상적인 행위를 탐지
- 특정 사용자가 일반적인 행동 패턴과 다른 방식으로 파일을 수정하거나 접근한다면 비정상적인 행위로 감지
- 행위기반 탐지는 알려진 패턴에 의존하지 않으며, 새로운 혹은 변형된 공격에 대해서도 탐지가능할 수 있지만 오탐이 패턴기반 감지 방식보다 많음
* 장비의 성능 영향이 큼

 

침입 탐지 대상에 따른 분류
단일 호스트 기반
- 단일 호스트에서 발생하는 침입 및 공격을 탐지하고 차단
- 호스트의 사용내역이 기록되어지는 자체의 로그 파일이 있으므로 이 파일들로부터 관련 정보들을 수집 가능

다중 호스트 기반
- 여러 호스트에서 발생하는 침입 및 공격을 탐지하고 차단
- 여러 호스트의 로그 정보를 호스트 간의 통신을 통해 취합하는 기술이 필요

네트워크 기반
- 네트워크상의 패킷을 빠짐없이 수집하여 침입 및 공격을 탐지하고 차단
- 수집된 패킷들을 프로토콜별로 분리하여 해석할 수 있는 기술이 요구

IDS/IPS 시스템의 동작 단계

정보 수집 단계 (Raw Data Collection)
- 침입 탐지를 위한 데이터를 어디에서 수집하는 가에 따른 분류
- 단일 호스트 기반, 다중 호스트 기반, 네트워크 기반 침입탐지 시스템
- 여기에서 얻어지는 데이터들로 시스템 사용 내역, 컴퓨터 통신에 사용되는 패킷 등이 있음
- 네트워크 패킷과 세션 정보 등을 수집함

정보 가공 및 축약 단계 (Data Reduction and Filtering)
- 수집된 정보에서 필요한 정보만 뽑아 의미 있는 정보로 가공함
- 일련의 데이터(Raw Data)들로부터 침입 판정이 가능할 수 있도록 의미 있는 정보로 전환시키는 단계가 필요
- 다음 단계인 분석 및 침입탐지 단계와 상호 의존적인 관계
- 정보 가공 및 축약 단계에서 잘 여과되고 다듬어진 형태의 정보를 토대로 분석 및 침입탐지가 이루어지기때문
- 관건 사항은 얼마나 빨리 침입탐지에 필요한 의미 있는 정보만을 골라내는가에 달려있다.

분석 및 침입탐지 단계 (Analysis and Intrusion Detecion)
- 수집된 데이터를 잘 가공하고 의미 있는 정보만을 넘겨받아 이를 분석하여 침입 여부를 판정하는 단계
- 오용탐지 또는 행위 탐지 기법들을 적용하여 공격을 탐지하여 분류함
- 침입탐지 시스템의 핵심 단계

보고 및 조치 단계 (Reporting and Response)
- 침입 여부를 판정하여 침입으로 판단되면 자동으로 해당 데이터를 차단하거나 관리자에게 경고를 보냄
- 관리자는 이에 대하여 적절한 조치를 취해야 함
- 조치 사항이나 경고 메시지나 정해진 호출기로의 호출 등의 방법으로 침입을 알림
- 공격에 대해 콘솔 뿐만 아니라 E-mail, SMS, SNMP 등을 통해 공격 탐지를 알리고 보안 담당자가 해당 공격을 확인 후 차단할 수 있음
- 자동 차단 정책을 미리 구성해두면 구성해둔 정책에 따라 자동으로 해당 데이터 차단을 수행함

IDS/IPS 시스템 특징

Stealth 모드 지원	시스템이 탐지되지 않도록 하는 모드로, 네트워크 상에서 자신의 존재를 숨기면서 트래픽을 모니터링하고 분석
Session drop 기능	세션을 종료시키는 기능으로, 비정상적인 활동이 탐지되었을 때 해당 세션을 강제로 종료시켜 더 이상의 악의적인 활동을 차단
Process 종료	악성 프로세스를 강제로 종료시켜 시스템을 보호하는 기능
백도어 탐지	시스템 내에서 백도어가 설치되었는지를 탐지하고 제거
Alert	- H-IDS(IPS, 호스트기반): 감시 대상이 되는 host에 탑재 - N-IDS(IPS, 네트워크기반): 지나가는 트래픽을 볼 수 있는 감시 대상이 되는 네트워크단에 설치 (전문장비)
각종 공격 탐지	공격을 시도할 때 특정한 코드 값을 보내게 되는데 이를 알아내어 탐지
방화벽 연동	탐지한 공격 패턴을 방화벽에 전달함으로써 유사 공격을 원천적으로 차단 가능
사용 편리성 제공 (GUI 제공)	사용자 인터페이스를 통해 시스템을 쉽게 관리하고 설정할 수 있는 기능 제공
오용 침입탐지	현재까지 알려져 있는 공격의 진행방법과 유형들을 파악 반영
침입 유형과 시나리오 획득	기존에 알려진 침입 방법들을 시험하고 분석하여 정형화된 형태의 침입탐지 규칙이나 패턴을 생성
침입 판정에 대한 오탐 존재	- 침입이라 판정하였는데 실제는 침입이 아닌 경우 (False-Positive Error) - 침입이 아니라고 판정하였는데 실제로는 침입인 경우 (False-Negative Error, x됨) - 에러율을 줄이기 위한 지속적인 연구 개발이 진행

IDS/IPS 시스템의 기능

트래픽 차단	웜/바이러스 및 스팸 메일, P2P 및 메신저 통신 등에 대한 비정상 네트워크 트래픽의 정확하고 신속한 탐지 및 차단 기능
트래픽 분석	실시간 네트워크/시스템 부하량 모니터링 및 프로토콜/서비스/IP별 네트워크 트래픽 트랜드 상세분석
트래픽 추적	유해 정보 차단 및 내부정보 유출 차단과 해킹추적기능
라이브 업데이트	신규 취약점, 위협에 대한 빠른 Update 기능
침입패턴 DB	자체적, 혹은 연계된 보안 연구조직을 통해 고품질의 보안 컨텐츠(위협 및 취약성 정보)를 지속적으로 공급 받아 미래의 위협에 적절하게 사전대응(preemptive Protection)할 수 있도록 침입패턴 DB를 보유
어플라이언스	IPS에 최적화된 어플라이언스를 통해 자체 OS Hardening 기능 제공
유해사이트 모니터링	유해사이트에 대한 실시간 모니터링 및 로깅 기능

 

 

결론

IDS와 IPS의 결정적 차이는 실시간 차단이다. IDS는 실시간 차단이 되지 않고 탐지만 되며, IPS는 실시간 탐지 및 차단이 된다. IDS에서 공격을 차단하기 위해선 탐지한 것을 방화벽에 따로 전달하여 방화벽이 정책을 만들어야하며, IDS와 방화벽의 버전도 잘 맞아야한다.  요즘엔 IPS가 보편화 되어 있기 때문에 거의 사용하지 않는다.