침입탐지시스템: Difference between revisions

From IT Wiki
No edit summary
 
(13 intermediate revisions by 10 users not shown)
Line 1: Line 1:
[[분류:보안]]
[[분류:보안 도구]]
[[분류:정보보안기사]]
==개요==
==개요==
* '''I'''ntrusion '''D'''etection '''S'''ystem('''IDS''')
 
* 네트워크 또는 호스트로의 비정상적인 접근을 탐지하는 시스템
*'''I'''ntrusion '''D'''etection '''S'''ystem('''IDS''')
*네트워크 또는 호스트로의 비정상적인 접근을 탐지하는 시스템


==긍정오류와 부정오류==
==긍정오류와 부정오류==
IDS와 같이 탐지만을 하는 시스템이 있는 오류는 탐지란 것이 완벽할 수 없기 때문이다.  
IDS와 같이 탐지만을 하는 시스템이 있는 이유는 오류는 탐지란 것이 완벽할 수 없기 때문이다.  
* 긍정오류(False Positive) : 정상적인 접근을 비정상적인 접근이라고 잘못 판단
 
* 부정오류(False Negative) : 비정상적인 접근을 정상적인 접근이라고 잘못 판단
*오탐(False Positive) : 정상적인 접근을 비정상적인 접근이라고 잘못 판단
*미탐(False Negative) : 비정상적인 접근을 정상적인 접근이라고 잘못 판단


==실행 4단계==
==실행 4단계==
# 데이터 수집(Raw Data Collection)
# 데이터 가공 및 축약(Data Reduction and Filtering)
# 침입 분석 및 탐지(Intrusion Analysis and Detection)
# 보고 및 대응(Reporting and Response)


#데이터 수집(Raw Data Collection)
#데이터 가공 및 축약(Data Reduction and Filtering)
#침입 분석 및 탐지(Intrusion Analysis and Detection)
#보고 및 대응(Reporting and Response)


==탐지방법에 의한 분류==
==탐지방법에 의한 분류==
===지식기반 침입탐지===
===지식기반 침입탐지===
;Knowledge-based Detection
*aka. 오용탐지(Misuse Detection) 이라고도 부른다.
*비정상 행위에 대한 패턴을 입력하여 일치하는 패턴을 탐지한다.
*비정상 행위에 대한 패턴을 입력하여 일치하는 패턴을 탐지한다.
**전문가 시스템(Knowledge-based Detection)
**전문가 시스템(Expert System)
**상태전이 모델
**상태전이 모델
**패턴 매칭(Signature-based Detection)
**패턴 매칭(Signature-based Detection)
**페트리 넷(petri-nets)
*장단점
*장단점
**오탐률이 낮다.
**오탐률이 낮다.
**새로운 패턴은 탐지 불가
**새로운 패턴은 탐지 불가
**속도 느림
**속도 느림
* 오용탐지(Misuse Detection) 이라고도 부른다.


===행위기반 침입탐지===
===행위기반 침입탐지===
;Anomaly Detection; 이상탐지
*정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상을 구분한다.
*정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상을 구분한다.
**통계적 분석
**통계적 분석
**예측 가능한 패턴 생성
**예측 가능한 패턴 생성
**신경망 모델
**신경망 모델
**전문가 시스템(expert systems)
**데이터 마이닝(data mining)
*장단점
*장단점
**패턴 자동 업데이트
**패턴 자동 업데이트
**새로운 패턴 탐지 가능
**새로운 패턴(제로데이 공격 등) 탐지 가능
**오탐률이 높음
**오탐률이 높음
**정상/비정상 기준 수립이 힘듦
**정상/비정상 기준 수립이 힘듦
* 비정상 행위 탐지(Anomaly Detection)이라고도 부른다.


==데이터 수집원에 의한 분류==
==데이터 수집원에 의한 분류==
===네트워크 기반 IDS===
===네트워크 기반 IDS===
; Network Based IDS(N-IDS)
 
;Network Based IDS(N-IDS)
 
IDS장비를 네트워크 앞단에 설치해 두고 네트워크에서 오가는 트래픽들을 분석
IDS장비를 네트워크 앞단에 설치해 두고 네트워크에서 오가는 트래픽들을 분석
* '''특징'''
 
*'''특징'''
**네트워크 전체를 몇개의 감지기를 통해 커버하므로 비용이 저렴하다.
**네트워크 전체를 몇개의 감지기를 통해 커버하므로 비용이 저렴하다.
**운영체제에 독립적이다.
**운영체제에 독립적이다.
**흘러가는 트래픽을 수집하여 분석하므로 해커가 임으로 지우기 어렵다.
**흘러가는 트래픽을 수집하여 분석하므로 해커가 임의로 지우기 어렵다.
**암호화된 트래픽은 분석이 불가능하다.
**암호화된 트래픽은 분석이 불가능하다.
**고속 네트워크에선 패킷 손실이 많다.
**고속 네트워크에선 패킷 손실이 많다.
Line 53: Line 68:


===호스트 기반 IDS===
===호스트 기반 IDS===
; Host Based IDS(H-IDS)
 
;Host Based IDS(H-IDS)
 
특정 호스트시스템에서 수집된 감사자료를 분석하고 비정상 행위를 탐지
특정 호스트시스템에서 수집된 감사자료를 분석하고 비정상 행위를 탐지
*'''특징'''
*'''특징'''
**탐지가 정확하다. N-IDS와 다르게 모두 복호화된 데이터를 분석하고 패킷의 손실도 없다.
**탐지가 정확하다. N-IDS와 다르게 모두 복호화된 데이터를 분석하고 패킷의 손실도 없다.
Line 62: Line 80:
**구현이 어렵다.
**구현이 어렵다.


==다중 호스트 기반 IDS ==
==다중 호스트 기반 IDS==
; Multi-Host Based IDS
 
;Multi-Host Based IDS
 
여러 호스트 시스템을 종합적으로 분석하여 비정상 행위를 탐지
여러 호스트 시스템을 종합적으로 분석하여 비정상 행위를 탐지
* H-IDS에 N-IDS적인 성격을 더한 IDS
* 대상 호스트들에 Agent를 설치하고, 대상 호스트들이 속한 네트워크에 종합 분석용 서버를 둔다.
* 서버에선 여러 호스트들에서서 수집된 자료들을 종합적으로 분석한다.
* 여러 호스트를 통하여 침입이 이루어지는 것을 탐지할 수 있다.
* 다중 H-IDS에 대비하여 일반 H-IDS를 단일(Single) H-IDS이라고 부르기도 한다.


== 기타 ==
*H-IDS에 N-IDS적인 성격을 더한 IDS
* 상태 추적 기능(Stateful Inspection)
*대상 호스트들에 Agent를 설치하고, 대상 호스트들이 속한 네트워크에 종합 분석용 서버를 둔다.
** 패킷 필터링의 단점인 세션(session)에 대한 추적 기능을 보완한다.
*서버에선 여러 호스트들에서서 수집된 자료들을 종합적으로 분석한다.
** 메모리상에 상태 추적 테이블을 만들어 단일 패킷이 아닌 뒤따르는 커넥션을 종합하여 평가한다.
*여러 호스트를 통하여 침입이 이루어지는 것을 탐지할 수 있다.
** 이스라엘 보안업체인 checkpoint 사에서 최초로 개발한 기능으로, 요즘은 대부분의 IDS에서 제공한다.
*다중 H-IDS와 구분하여 일반 H-IDS를 단일 호스트 기반 IDS이라고 부르기도 한다.
 
== [[침입차단시스템|침입차단시스템(IPS)]]와의 차이 ==
{{침입탐지시스템과 침입차단시스템}}
 
==기타==
 
*'''상태 추적 기능(Stateful Inspection)'''
**패킷 필터링의 단점인 세션(session)에 대한 추적 기능을 보완한다.
**메모리상에 상태 추적 테이블을 만들어 단일 패킷이 아닌 뒤따르는 커넥션을 종합하여 평가한다.
**이스라엘 보안업체인 checkpoint 사에서 최초로 개발한 기능으로, 요즘은 대부분의 IDS에서 제공한다.
*'''스텔스(Stealth)모드 침입탐지 시스템'''
**침입자로부터 침입탐지 장비의 존재를 숨기기 위한 구성
**대부분의 네트워크 기반 IDS는 네트워크 인터페이스 카드가 2개 이상으로 구현되어 있음
**이중에 네트워크에서 패킷 캡쳐하는 네트워크 인터페이스 카드에 IP 주소를 가지지 않게 구성하는 것
**IP 주소를 가지지 않으므로 침입탐지시스템 자체가 네트워크상에 노출되지 않음
**즉, 침입탐지시스템 자체가 침입 및 공격의 대상 또는 목표가 되는 것을 방지하는 방법
**다른 쪽 네트워크 인터페이스 카드에는 IP를 할당하여 내부망(관리망)으로 연결하여 IDS를 관리

Latest revision as of 13:01, 12 March 2022

개요[edit | edit source]

  • Intrusion Detection System(IDS)
  • 네트워크 또는 호스트로의 비정상적인 접근을 탐지하는 시스템

긍정오류와 부정오류[edit | edit source]

IDS와 같이 탐지만을 하는 시스템이 있는 이유는 오류는 탐지란 것이 완벽할 수 없기 때문이다.

  • 오탐(False Positive) : 정상적인 접근을 비정상적인 접근이라고 잘못 판단
  • 미탐(False Negative) : 비정상적인 접근을 정상적인 접근이라고 잘못 판단

실행 4단계[edit | edit source]

  1. 데이터 수집(Raw Data Collection)
  2. 데이터 가공 및 축약(Data Reduction and Filtering)
  3. 침입 분석 및 탐지(Intrusion Analysis and Detection)
  4. 보고 및 대응(Reporting and Response)

탐지방법에 의한 분류[edit | edit source]

지식기반 침입탐지[edit | edit source]

Knowledge-based Detection
  • aka. 오용탐지(Misuse Detection) 이라고도 부른다.
  • 비정상 행위에 대한 패턴을 입력하여 일치하는 패턴을 탐지한다.
    • 전문가 시스템(Expert System)
    • 상태전이 모델
    • 패턴 매칭(Signature-based Detection)
    • 페트리 넷(petri-nets)
  • 장단점
    • 오탐률이 낮다.
    • 새로운 패턴은 탐지 불가
    • 속도 느림

행위기반 침입탐지[edit | edit source]

Anomaly Detection; 이상탐지
  • 정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상을 구분한다.
    • 통계적 분석
    • 예측 가능한 패턴 생성
    • 신경망 모델
    • 전문가 시스템(expert systems)
    • 데이터 마이닝(data mining)
  • 장단점
    • 패턴 자동 업데이트
    • 새로운 패턴(제로데이 공격 등) 탐지 가능
    • 오탐률이 높음
    • 정상/비정상 기준 수립이 힘듦

데이터 수집원에 의한 분류[edit | edit source]

네트워크 기반 IDS[edit | edit source]

Network Based IDS(N-IDS)

IDS장비를 네트워크 앞단에 설치해 두고 네트워크에서 오가는 트래픽들을 분석

  • 특징
    • 네트워크 전체를 몇개의 감지기를 통해 커버하므로 비용이 저렴하다.
    • 운영체제에 독립적이다.
    • 흘러가는 트래픽을 수집하여 분석하므로 해커가 임의로 지우기 어렵다.
    • 암호화된 트래픽은 분석이 불가능하다.
    • 고속 네트워크에선 패킷 손실이 많다.
    • 호스트 내부에서 벌어지는 비정상적인 행위에 대해선 감지가 불가능하다.

호스트 기반 IDS[edit | edit source]

Host Based IDS(H-IDS)

특정 호스트시스템에서 수집된 감사자료를 분석하고 비정상 행위를 탐지

  • 특징
    • 탐지가 정확하다. N-IDS와 다르게 모두 복호화된 데이터를 분석하고 패킷의 손실도 없다.
    • 추가적인 장비가 필요하지 않다.
    • 운영체제에 종속적이다. (리눅스 전용 IDS면 윈도우 서버에선 못 쓴다.)
    • 시스템에 부하가 발생한다.
    • 구현이 어렵다.

다중 호스트 기반 IDS[edit | edit source]

Multi-Host Based IDS

여러 호스트 시스템을 종합적으로 분석하여 비정상 행위를 탐지

  • H-IDS에 N-IDS적인 성격을 더한 IDS
  • 대상 호스트들에 Agent를 설치하고, 대상 호스트들이 속한 네트워크에 종합 분석용 서버를 둔다.
  • 서버에선 여러 호스트들에서서 수집된 자료들을 종합적으로 분석한다.
  • 여러 호스트를 통하여 침입이 이루어지는 것을 탐지할 수 있다.
  • 다중 H-IDS와 구분하여 일반 H-IDS를 단일 호스트 기반 IDS이라고 부르기도 한다.

침입차단시스템(IPS)와의 차이[edit | edit source]

기본적으로 '침입탐지시스템'과 모든 메커니즘이 동일하다. 자동으로 차단하는 기능이 있냐 없냐의 차이

  • 아래 비교표는 IPS가 등장하기 시작한 시기의 비교 내용으로, 최근엔 두 시스템간 차이가 크지 않다.
  • IPS를 도입하고 차단 기능을 off 해두면 IDS로 사용되는 식
구분 IDS IPS
주요 목적
  • Passive & Receive
  • 침입 여부의 탐지 목적
  • Active & Proactive
  • 침입 이전의 방지 목적
분석 방법
  • 주로 시그니처 DB 기반
  • 알려진 공격 패턴 탐지
  • 주로 정책 Rule DB 기반
  • 알려지지 않은 공격도 탐지
대응 방법
  • ESM룰에 따라 방화벽 정책 변경
  • 자원 접근을 직접 차단

기타[edit | edit source]

  • 상태 추적 기능(Stateful Inspection)
    • 패킷 필터링의 단점인 세션(session)에 대한 추적 기능을 보완한다.
    • 메모리상에 상태 추적 테이블을 만들어 단일 패킷이 아닌 뒤따르는 커넥션을 종합하여 평가한다.
    • 이스라엘 보안업체인 checkpoint 사에서 최초로 개발한 기능으로, 요즘은 대부분의 IDS에서 제공한다.
  • 스텔스(Stealth)모드 침입탐지 시스템
    • 침입자로부터 침입탐지 장비의 존재를 숨기기 위한 구성
    • 대부분의 네트워크 기반 IDS는 네트워크 인터페이스 카드가 2개 이상으로 구현되어 있음
    • 이중에 네트워크에서 패킷 캡쳐하는 네트워크 인터페이스 카드에 IP 주소를 가지지 않게 구성하는 것
    • IP 주소를 가지지 않으므로 침입탐지시스템 자체가 네트워크상에 노출되지 않음
    • 즉, 침입탐지시스템 자체가 침입 및 공격의 대상 또는 목표가 되는 것을 방지하는 방법
    • 다른 쪽 네트워크 인터페이스 카드에는 IP를 할당하여 내부망(관리망)으로 연결하여 IDS를 관리