침입 탐지 시스템, 즉 IDS는 시스템에 대한 원치 않는 조작을 탐지한다. 전통적인 방화벽(Firewall)이 탐지할 수 없는 악의적인 네트워크 트래픽 및 컴퓨터 사용을 탐지하기 위해 필요하다. 이것은 취약한 서비스에 대한 네트워크 공격과 애플리케이션에서의 데이터 처리 공격(data driven attack), 그리고 권한 확대(privilege escalation) 및 로그인, 파일 접근, 악성 소프트웨어(Virus, Trojan 등)와 같은 호스트 기반 공격을 포함한다.
IDS는 여러 개의 구성 요소로 이루어져 있다: 센서는 보안 이벤트를 발생시키며, 콘솔은 이벤트를 모니터하고 센서를 제어하거나 경계시키며(alert), 중앙 엔진은 센서에 의해 기록된 이벤트를 데이터베이스에 기록하거나, 시스템 규칙을 사용하여 수신된 보안 이벤트로부터 경고를 생성한다. IDS를 분류하는 방법은 센서의 종류와 위치 그리고 엔진이 경고를 만드는 데 사용하는 방법론 등에 따라 여러가지가 있다. 많은 간단한 IDS들은 위의 세 가지 요소들을 하나의 장치 또는 설비로 구현하고 있다.
1. 실시간 침입탐지를 위한 솔루션, IDS(Instrusion Detect System)의 개요
가. IDS(Instrusion Detect System)의 개념
- 비인가된 사용자가 자원의 기밀성, 무결성, 가용성을 저해하는 일련의 행동들과 침입을 하는 행위를 실시간으로 탐지하는 시스템
나. IDS의 필요성
- 외부 침입자뿐만 아니라 내부 사용자의 불법적인 오남용 행위를 대처하는 방법이 필요
- 침입차단시스템(Firewall)이 해킹 당했을 때의 피해 최소화 필요 및 방화벽의 문제점 보완
- 새로운 해킹관련 기술에 대한 지능적인 방지 시스템 필요
2. IDS의 구성도 및 구성요소, 주요기능
가. IDS의 구성도
나. IDS의 구성요소
- 정보수집기 : 호스트나 네트워크로부터 분석 자료 수집
- 정보분석기 : 시스템 설정과 패턴 DB의 설정에 따라 정보 분석
- 로그저장소 : 분석된 결과 저장
- 이벤트 보고기 : 로그 저장소의 분석 결과를 해당 관리자에게 보고
- 패턴 생성기 : 침입 분석 자료를 통해 패턴 생성
- 패턴 DB : 패턴 생성기에 의해 생성된 패턴의 저장 관리
- 경보기능 : 경보, 이메일 발송, SNMP(Simple Network Management Protocol) Trap 발송 등으로 통보
- 세션 차단기능 : 의심스러운 행위 감지시 해당 세션을 차단
- 실시간 탐지 : 시스템이나 네트워크를 실시간으로 모니터링하여 침입 탐지
- 리포팅 : 통계적 분석 및 리포팅 기능
나. 방화벽과의 비교
4. 네트워크 기반(NIDS)와 호스트 기반(HIDS)의 상세 설명
가. 네트워크 기반 침입탐지 시스템(NIDS)
- 네트워크 트래픽을 검사하고 여러 호스트들을 모니터하여 침입을 식별하는 독립된 플랫폼
- 포트 미러링 또는 네트워크 탭(network tap)을 위해 설정된 허브, 네트워크 스위치에 연결하여 네트워크 트래픽에 접근
1) 장점
- 시스템의 각종 자원정보 파악용이
- 시스템별 정확한 탐지 및 분석수행 가능
- 시스템별 실시간 로그확인 가능
- 내부사용자 및 사용자레벨에서 공격시도 탐지 가능
나. 호스트 기반 침입 탐지 시스템(HIDS)
- 호스트에서 시스템 콜, 애플리케이션 로그, 파일 시스템의 수정사항(이진 파일, 패스워드 파일, capability/acl 데이터베이스) 그리고 호스트의 동작과 상태등을 분석하여 침입을 식별하는 에이전트로 구성
1) 장점
- 네트워크기반 공격패턴 탐지가능
- 전체 네트워크 트래픽 모니터링 및 사용현황정보 제공 가능
- 운영체제 독립성이 보장되므로 비용 절감
2) 단점
- 네트워크 성능저하 및 병목현상발생 가능
- 시스템레벨의 해킹 및 파일변조공격은 탐지가 어려움
- NIDS를 경유하지 않은 경우 탐지불가능 및 탐지효율이 작음
- 암호화 패킷탐지 불가, False Positive가 높음
다. 하이브리드 침입 탐지 시스템
- 네트워크 기반과 호스트 기반을 결합, 호스트 에이젼트 데이터는 네트워크의 종합적인 관점을 위해 네트워크 정보와 결합된다. 하이브리드 IDS 중 하나로 Prelude가 존재
5. IDS의 한계 및 전망
가. IDS의 한계
- 해킹시도 및 공격탐지 시 사전 차단과 같은 능동적 대처 능력이 떨어짐
- 해킹 및 네트워크 공격의 탐지 효율이 떨어지고 오탐율이 높음
- 알려지지 않은 새로운 형태의 공격이나 변형공격에 취약함
- 과도한 네트워크 트래픽이나 시스템 부하 가중시에 탐지 및 대응능력 저하
- IDS단독으로 다양한 보안 위협에 완벽한 보호기능 수행불가
나. IDS의 전망
- 대용량 트래픽 환경에서의 정확한 분석을 위한 기가비트 및 10기가비트 성능지원
- 알려지지 않았거나 예측 불가능한 공격에 대처 가능한 지능적 침입탐지기술 적용
- 해킹과 웜/바이러스와 같은 혼합변조공격에 대한 탐지 및 방어기술 추가
- 방화벽, IPS, ESM와 같은 다양한 보안솔루션과의 연동을 통한 통합보안관리기능 제공
- DoS와 DDoS에 대한 능동적 대응기능
연관토픽
'정보처리기술사 > 보안' 카테고리의 다른 글
| 암호화 알고리즘(Cryptography algorithm) (0) | 2016.10.27 |
|---|---|
| 내부 네트워크의 접근을 통제하는 NAC(Network Access Control) (1) | 2016.10.26 |
| 악의적인 목적의 코드, 악성코드(Malicious Code) (2) | 2016.10.22 |
| 실시간 방어를 위한 솔루션, 침입차단시스템(IPS, Intrusion Prevention System) (0) | 2016.10.04 |
| 외부의 침입을 차단하는 보안시스템, 방화벽(Firewall) (0) | 2016.10.02 |