침입탐지시스템 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
[[분류:보안]] | [[분류:보안]][[분류:보안 도구]][[분류:정보보안기사]] | ||
[[분류:보안 도구]] | |||
[[분류:정보보안기사]] | |||
==개요== | ==개요== | ||
* '''I'''ntrusion '''D'''etection '''S'''ystem('''IDS''') | |||
*'''I'''ntrusion '''D'''etection '''S'''ystem('''IDS''') | * 네트워크 또는 호스트로의 비정상적인 접근을 탐지하는 시스템 | ||
*네트워크 또는 호스트로의 비정상적인 접근을 탐지하는 시스템 | |||
==긍정오류와 부정오류== | ==긍정오류와 부정오류== | ||
IDS와 같이 탐지만을 하는 시스템이 있는 이유는 오류는 탐지란 것이 완벽할 수 없기 때문이다. | IDS와 같이 탐지만을 하는 시스템이 있는 이유는 오류는 탐지란 것이 완벽할 수 없기 때문이다. | ||
* 오탐(False Positive) : 정상적인 접근을 비정상적인 접근이라고 잘못 판단 | |||
*오탐(False Positive) : 정상적인 접근을 비정상적인 접근이라고 잘못 판단 | * 미탐(False Negative) : 비정상적인 접근을 정상적인 접근이라고 잘못 판단 | ||
*미탐(False Negative) : 비정상적인 접근을 정상적인 접근이라고 잘못 판단 | |||
==실행 4단계== | ==실행 4단계== | ||
# 데이터 수집(Raw Data Collection) | |||
#데이터 수집(Raw Data Collection) | # 데이터 가공 및 축약(Data Reduction and Filtering) | ||
#데이터 가공 및 축약(Data Reduction and Filtering) | # 침입 분석 및 탐지(Intrusion Analysis and Detection) | ||
#침입 분석 및 탐지(Intrusion Analysis and Detection) | # 보고 및 대응(Reporting and Response) | ||
#보고 및 대응(Reporting and Response) | |||
==탐지방법에 의한 분류== | ==탐지방법에 의한 분류== | ||
===지식기반 침입탐지=== | ===지식기반 침입탐지=== | ||
;Knowledge-based Detection | ;Knowledge-based Detection | ||
* aka. 오용탐지(Misuse Detection) 이라고도 부른다. | |||
*aka. 오용탐지(Misuse Detection) 이라고도 부른다. | |||
*비정상 행위에 대한 패턴을 입력하여 일치하는 패턴을 탐지한다. | *비정상 행위에 대한 패턴을 입력하여 일치하는 패턴을 탐지한다. | ||
**전문가 시스템(Expert System) | **전문가 시스템(Expert System) | ||
37번째 줄: | 30번째 줄: | ||
===행위기반 침입탐지=== | ===행위기반 침입탐지=== | ||
;Anomaly Detection; 이상탐지 | ;Anomaly Detection; 이상탐지 | ||
*정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상을 구분한다. | *정상 행위와 비정상 행위를 프로파일링 하여 통계 및 AI를 이용하여 정상/비정상을 구분한다. | ||
**통계적 분석 | **통계적 분석 | ||
54번째 줄: | 45번째 줄: | ||
==데이터 수집원에 의한 분류== | ==데이터 수집원에 의한 분류== | ||
===네트워크 기반 IDS=== | ===네트워크 기반 IDS=== | ||
; Network Based IDS(N-IDS) | |||
;Network Based IDS(N-IDS) | |||
IDS장비를 네트워크 앞단에 설치해 두고 네트워크에서 오가는 트래픽들을 분석 | IDS장비를 네트워크 앞단에 설치해 두고 네트워크에서 오가는 트래픽들을 분석 | ||
* '''특징''' | |||
*'''특징''' | |||
**네트워크 전체를 몇개의 감지기를 통해 커버하므로 비용이 저렴하다. | **네트워크 전체를 몇개의 감지기를 통해 커버하므로 비용이 저렴하다. | ||
**운영체제에 독립적이다. | **운영체제에 독립적이다. | ||
68번째 줄: | 56번째 줄: | ||
===호스트 기반 IDS=== | ===호스트 기반 IDS=== | ||
; Host Based IDS(H-IDS) | |||
;Host Based IDS(H-IDS) | |||
특정 호스트시스템에서 수집된 감사자료를 분석하고 비정상 행위를 탐지 | 특정 호스트시스템에서 수집된 감사자료를 분석하고 비정상 행위를 탐지 | ||
*'''특징''' | *'''특징''' | ||
**탐지가 정확하다. N-IDS와 다르게 모두 복호화된 데이터를 분석하고 패킷의 손실도 없다. | **탐지가 정확하다. N-IDS와 다르게 모두 복호화된 데이터를 분석하고 패킷의 손실도 없다. | ||
80번째 줄: | 65번째 줄: | ||
**구현이 어렵다. | **구현이 어렵다. | ||
==다중 호스트 기반 IDS== | ==다중 호스트 기반 IDS == | ||
; Multi-Host Based IDS | |||
;Multi-Host Based IDS | |||
여러 호스트 시스템을 종합적으로 분석하여 비정상 행위를 탐지 | 여러 호스트 시스템을 종합적으로 분석하여 비정상 행위를 탐지 | ||
* H-IDS에 N-IDS적인 성격을 더한 IDS | |||
* 대상 호스트들에 Agent를 설치하고, 대상 호스트들이 속한 네트워크에 종합 분석용 서버를 둔다. | |||
* 서버에선 여러 호스트들에서서 수집된 자료들을 종합적으로 분석한다. | |||
* 여러 호스트를 통하여 침입이 이루어지는 것을 탐지할 수 있다. | |||
* 다중 H-IDS와 구분하여 일반 H-IDS를 단일 호스트 기반 IDS이라고 부르기도 한다. | |||
== 기타 == | |||
* '''상태 추적 기능(Stateful Inspection)''' | |||
** 패킷 필터링의 단점인 세션(session)에 대한 추적 기능을 보완한다. | |||
** 메모리상에 상태 추적 테이블을 만들어 단일 패킷이 아닌 뒤따르는 커넥션을 종합하여 평가한다. | |||
** 이스라엘 보안업체인 checkpoint 사에서 최초로 개발한 기능으로, 요즘은 대부분의 IDS에서 제공한다. | |||
* '''스텔스(Stealth)모드 침입탐지 시스템''' | |||
** 침입자로부터 침입탐지 장비의 존재를 숨기기 위한 구성 | |||
** 대부분의 네트워크 기반 IDS는 네트워크 인터페이스 카드가 2개 이상으로 구현되어 있음 | |||
** 이중에 네트워크에서 패킷 캡쳐하는 네트워크 인터페이스 카드에 IP 주소를 가지지 않게 구성하는 것 | |||
==기타== | ** IP 주소를 가지지 않으므로 침입탐지시스템 자체가 네트워크상에 노출되지 않음 | ||
** 즉, 침입탐지시스템 자체가 침입 및 공격의 대상 또는 목표가 되는 것을 방지하는 방법 | |||
*'''상태 추적 기능(Stateful Inspection)''' | ** 다른 쪽 네트워크 인터페이스 카드에는 IP를 할당하여 내부망(관리망)으로 연결하여 IDS를 관리 | ||
**패킷 필터링의 단점인 세션(session)에 대한 추적 기능을 보완한다. | |||
**메모리상에 상태 추적 테이블을 만들어 단일 패킷이 아닌 뒤따르는 커넥션을 종합하여 평가한다. | |||
**이스라엘 보안업체인 checkpoint 사에서 최초로 개발한 기능으로, 요즘은 대부분의 IDS에서 제공한다. | |||
*'''스텔스(Stealth)모드 침입탐지 시스템''' | |||
**침입자로부터 침입탐지 장비의 존재를 숨기기 위한 구성 | |||
**대부분의 네트워크 기반 IDS는 네트워크 인터페이스 카드가 2개 이상으로 구현되어 있음 | |||
**이중에 네트워크에서 패킷 캡쳐하는 네트워크 인터페이스 카드에 IP 주소를 가지지 않게 구성하는 것 | |||
**IP 주소를 가지지 않으므로 침입탐지시스템 자체가 네트워크상에 노출되지 않음 | |||
**즉, 침입탐지시스템 자체가 침입 및 공격의 대상 또는 목표가 되는 것을 방지하는 방법 | |||
**다른 쪽 네트워크 인터페이스 카드에는 IP를 할당하여 내부망(관리망)으로 연결하여 IDS를 관리 |