실시간 방어를 위한 솔루션, 침입차단시스템(IPS, Intrusion Prevention System)

외부 네트워크로부터 내부 네트워크로 침입하는 네트워크 패킷을 찾아 제어하는 기능을 가진 소프트웨어 또는 하드웨어이다. 일반적으로 내부 네트워크로 들어오는 모든 패킷이 지나가는 경로에 설치되며, 호스트의 IP, Port, 사용자 인증에 기반을 두고 외부 침입을 차단하는 역할을 한다. 허용되지 않는 사용자나 서비스에 대해 사용을 거부하여 내부 자원을 보호한다.

1. 침입탐지와 실시간 방어를 위한 솔루션, IPS의 개요

가. IPS(Intrusion Prevention System)의 개념

- 침입탐지 시스템의 오판(False Positive)와 탐지실패(False Negative)의 문제를 해결하기 위해 등장한 솔루션으로 정보관리 시스템 네트워크의 침입탐지와 동시에 실시간 방어가 가능한 보안 솔루션

나. IPS의 특징

- 침입 및 바이러스 감염 등 각 상황에 맞는 실시간 자동 대응 시스템

- 광대역 통신망 패킷을 실시간 분석 및 알려지지 않은 공격을 탐지(바이러스, 해킹 등)

- 단순 미러링이 아닌 네트워크 트래픽과 동일 선상에 위치함으로서 오탐지율 검소

- 패킷 기반 탐지 이외에 세션 기반 탐지 가능

2. IPS의 아키텍처와 이상징후

가. IPS의 아키텍처

이미지출처, http://blog.naver.com/jupitersys/80112375530

 

나. IPS의 이상징후

1) Protocol Anomaly

- 패킷별 프로토콜 표준 부합여부 점검

- 비정상 프로토콜 및 악성코드 탐지 및 차단

- 주요예제 : 웹 트래픽의 비표준 포트 접속 요청

2) Application Anomaly

- 어플리케이션의 비정상 동장/행위 탐지

- 어플리케이션 패킷 악성코드 탐지 및 차단

- 주요예제 : 사용자 패스워드 필드에 바이너리 쉘코드 삽입

3) Statistical Anomaly

- 트래픽에 대한 정상/비정상 여부 분석

- 대량의 비정상 패킷 발생 탐지 및 차단

- 주요예제 : TCP 트래픽 대비 과도한 UDP 트래픽 생성, 임계치 기준 새로운 트래픽/어플리케이션 증가

4) Unified Anomaly

- Protocol Anomaly + Statistical Anomaly

- 주요예제 : 표준 포트 이용 백도어 및 P2P 어플리케이션 동작

- Application Anomaly + Statistical Anomaly

- 주요예제 : 어플리케이션 통한 비정상적 크기의 패킷 송수신

3. IPS의 유형 비교

4. IPS 행위 분석 탐지 유형 및 모델 기반 분류

가. IPS 행위 분석 탐지 유형

- 행위분석탐지 : 사용자가 사용하는 명령이나 행동을 분석한 프로파일을 이용해 관찰

- 규칙기반 변화탐지 : 시스템 사용패턴이 비정상이라고 판단 시 침입으로 간주

- 규칙기반 침입방식 : 기존에 등록된 침입패턴과 비교해 유사시 침입으로 간주

- 상태변이 분석 : 침입자의 시스템권한 획득과정을 패턴으로 등록한 후 비교해 분석

나. IPS 모델 기반 분류

1) 오용탐지모델

- 특정 공격기준에 관한 기존의 지식을 바탕으로 패턴을 설정하고, 이 패턴과 비교하여 일치 하는 경우 불법 침입으로 간주 방식

2) 이상탐지모델

- 사용자의 패턴을 분석한 후, 정상적인 사용패턴과 분석하여 이상(예외적인)패턴을 발견하면 침입으로 간주

5. IPS와 IDS의 비교

연관토픽

외부의 침입을 차단하는 보안시스템, 방화벽(Firewall)

실시간 침입탐지를 위한 솔루션, 침입 탐지 시스템(IDS, Intrusion Detect System)