IDS / IPS

IDS(Instrusion Detection System) 침입 탐지 시스템

IPS(Instrusion Prevention System) 침입 방지 시스템

 

기본적으로 IDS와 IPS 장비의 차이점은 없지만 이를 구성하는 방식에 따라 IDS와 IPS로 구분하게 된다.

 

구성방식

 

1. 미러 방식

미러 방식은 외부 망에서 패킷이 유입될 때 유입되는 경로 상에 연결하는 것이 아닌 경로에 곁가지처럼 따로 연결시키는 방식으로 TAP이나 스위치 장비를 두어 패킷을 복사하여 솔루션에 보내 패킷을 검사하도록 한다.

 

2. 인라인 방식

인라인 방식은 외부 망에서 패킷이 유입될 때 유입되는 경로 상에 직접 연결하여 패킷을 검사하고 비정상적이라고 판단하면 자체에서 패킷을 차단하는 방식이다.

 

미러 방식으로 장비를 구성하면 IDS, 인라인 방식으로 구성하면 IPS라 부르게 된다.

 

IDS / IPS

IDS는 외부에서 내부로 들어오는 패킷이 정상인지 아닌지를 탐지하고 관리자에게 알리고 대응하는 솔루션이다.

IPS는 IDS와 마찬가지로 탐지를 하고 이를 차단하는 기능을 가지고 있는 솔루션이다.

 

IDS 탐지방법에 의한 분류

1. 규칙기반(오용 침입탐지, Misuse Detection)

시스템 로그, 네트워크 입력 정보, 알려진 침입 방법 등의 비정상적인 행위 패턴 정보들을 DB에 저장해두고 이와 패턴이 일치 또는 유사한지 판단하는 방법이다.

False positive(오탐)률이 낮지만 DB에 패턴을 저장하여 이를 비교해서 판단하기 때문에 새로운 침입 패턴은 탐지하기가 어렵다는 단점이 있다.

2. 통계 기반(비정상 침입탐지, anomaly detection)

규칙 기반과 반대로 이번엔 정상적인 패턴을 DB에 저장하여 이에 벗어나는 패턴에 대해서 침입으로 탐지하는 방법이다.

알려지지 않은 공격을 탐지하는 것이 가능하지만 범위 설정이 어렵고 false positive가 높다.

 

설치 위치가 네트워크 쪽인지 호스트쪽 인지에 따라 나뉘게 된다.

HIDS(호스트 기반 IDS)

HIDS는 호스트 내부에 설치하여 내부 시스템의 여러가지 상태를 모니터링하게 된다.

NIDS(네트워크 기반 IDS)

NIDS는 네트워크 상의 패킷이 유입되는 경로에 설치되어 네트워크 패킷을 분석하고 침입을 탐지한다.

 

IPS 공격 패턴 인지 방식 분류

1. 시그니쳐 기반

침입 탐지 패턴을 DB에 저장하여 이를 기반으로 차단을 진행한다. 새로운 공격의 경우 차단이 불가능하다.

2. 휴리스틱 기반

Anomaly detection/prevention 방식으로 축적된 정보를 이용하여 탐지하고 차단한다.

 

IPS도 호스트기반과 네트워크 기반으로 나뉜다.

HIPS(호스트 기반 IPS)

호스트 내부에 설치하고 커널과 함께 또는 독립적으로 동작하며 시그니처 기반 또는 휴리스틱 기반 알고리즘을 이용한다.

NIPS(네트워크 기반 IPS)

호스트에 독립적이며 시그니처 기반 또는 휴리스틱 기반 알고리즘을 사용하여 실시간 패킷을 처리한다.