침입탐지시스템(IDS: Intrusion Detection System)
정의
탐지 대상 시스템이나 네트워크를 감시하여 비인가되거나 비정상적인 행동을 탐지하여 구별한다.
IDS 주요 기능
사용자의 시스템의 행동 분석 및 관찰하여 설정된 시스템에 대한 보안 상태를 테스트한다.
잘 알려진 공격에 대한 패턴 기반 대응인 오용탐지와 정상적인 행위에 대한 임계치를 벗어나는 행위를 탐지하는 이상 탐지를 통해 탐지한다.
- 오용탐지
- 지식 기반 탐지, 패턴 기반 탐지
- 패턴을 등록해놓고 일치하는 행위에 대해서 탐지
- 오탐률이 낮지만 지속적인 새로운 패턴에 대해 등록 작업이 이루어져야 하기 때문에 미탐률은 높다.
- 이상탐지
- 행위 기반 탐지
- 정상적인 행위에 대한 프로파일을 생성해놓고 정량적이고 통계적인 방법을 통해 비교, 분석을 한 후 일정 임계값 이상을 벗어나게 되면 침입으로 판단
- 미탐률은 낮지만 오탐률이 높다
* IDS의 FALSE Positive (오탐) : 탐지는 했는데 잘못된 탐지
* IDS의 FALSE Negative (미탐) : 탐지해야 하는데 탐지 못함
작동 원리
데이터를 제공하는 소스에 따라 분류
- Network-IDS
- 미러링 포트나 태핑 장비(TAP)를 이용하여 네트워크 단에서 감시
- 패킷 스니퍼와 모니터링의 발전 형태
- Host-IDS
- 호스트 Agent 형식으로 설치하여 호스트 단에서 감시
- 호스트의 로그나 입출력 패킷을 검사한다.
- 시스템의 중요한 파일이나 설정 값을 삭제 또는 변경하여 시스템을 위험에 노출시키는 행위를 탐지
- Network-IDS는 네트워크 트래픽 분석 및 모니터링 중심이라면, Host-IDS는 시스템 자체의 위험성을 탐지
침입탐지시스템(IDS)과 침입차단시스템(IPS: Intrusion Prevention System)의 차이점
- IDS: 공격 패킷을 차단하는 것이 아니라 탐지를 목적으로 하는 네트워크 보안장비이기 때문에 미러링 모드를 통해 복사된 패킷을 이용한다.
- IPS: 공격 패킷을 탐지하고 차단하는 것을 목적으로 하기 때문에 보안장비를 통과하도록 구성하는 인라인 모드가 적절
- 미러링 모드(mirroring mode): 미러링 장비를 통해 복사된 패킷을 전달받는 모드로 스니핑 모드라고도 한다. 네트워크 가용성 측면에서 미러링 모드로 설치
- 인라인 모드(inline mode): 연결된 네트워크를 통과하는 모든 트래픽이 거쳐 가도록 하는 모드
'Security > Network' 카테고리의 다른 글
[Network] GNS3 - 네트워크 에뮬레이터 다운로드, 설치방법 (1699) | 2023.07.27 |
---|---|
[Attack] 네트워크 기반 공격 – 분산 반사 서비스 거부 공격(DRDoS) (297) | 2021.10.26 |
[Attack] 네트워크 기반 공격 – 분산 서비스 거부 공격(DDoS) (430) | 2021.10.26 |
[Attack] 네트워크 기반 공격 - 서비스 거부 공격(DoS) (319) | 2021.10.26 |
[보안장비] Snort 정의와 rule 설정 (285) | 2021.10.08 |