73. 침입 탐지 시스템(IDS)

73. 침입 탐지 시스템(IDS)

1. 침입 탐지 시스템(Intrusion Detection System)

• 침입의 패턴 데이터베이스와 지능형 엔진을 사용함.
• 네트워크나 시스템의 사용을 실시간 모니터링하고 침입을 탐지하는 보안 시스템
• 조직 IT 시스템의 기밀성, 무결성, 가용성을 침해하고, 보안 정책을 위협하는 침입 사건을 사전 또는 사후에 감시, 탐지, 대응하는 보안 시스템
• 한국정보화진흥원의 침입 탐지 시스템 정의
  • 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 가능하면 실시간으로 탐지하는 시스템
• 침입 차단 시스템 차단 방법

절차	세부 설명
정보 수집	- 침입 탐지를 위한 근원적인 자료들 수집 - 자료원에 따라 NIDS와 HIDS로 나누어짐.
정보 가공 및 축약	- 불필요한 정보 제거 : 침입과 관련 없는 정보 제거 - 침입 판정을 위한 최소한의 정보만 남김 : 분석의 복잡도 감소
침입 분석 및 탐지	- 축약된 정보를 기반으로 침입 여부를 분석, 탐지 - 방식에 따라 오용 탐지와 비정상 행위 탐지로 나누어짐.
보고 및 조치	- 침입 탐지 후 적절한 보고 및 대응 조치 - 다른 보안 장비(방화벽) 등과 연계

 

2. 오용 탐지와 이상 탐지

(1) 오용 탐지(Misuse)

• 침입 패턴 정보를 데이터베이스화하고 사용자 혹은 침입자가 네트워크 및 호스트를 사용하는 활동 기록과 비교하여 침입 패턴과 동일하면 침입으로 식별하는 것
• 오탐률이 낮은 장점이 있음.
• 사전에 침입을 탐지하지 못하는 단점이 있음.
• 대부분의 IDS는 오용 탐지 기반으로 서비스함.
• 침입 패턴의 최신 패턴 유지가 가장 중요한 요소로 식별됨.
  • 최근에 파악된 침입 패턴을 Rule로 관리하여 여러 개의 침입 패턴(Rule Set)으로 묶어서 IDS 장비에 실시간으로 동기화를 수행함.

(2) 비정상 행위 탐지(Anomaly)

• 정상 패턴을 저장하고 정상과 다른 활동이 식별되면 모두 침입으로 식별하는 방법
• 사전에 침입을 탐지할 수 있다는 장점이 있음.
• 오탐률이 높다는 문제점이 있음.

 

3. 오용 탐지와 비정상 행위 탐지의 비교

구분	오용 탐지(Misuse)	비정상 행위 탐지(Anomaly)
동작 방식	- 시그니처(Signiture) 기반 (Knowledge 기반)	- 프로파일(Profile) 기반 (Behavior 기반, Statistical 기반)
침입 판단 방법	- 미리 정의된 Rule에 매칭 - 이미 정립된 공격 패턴을 미리 입력하고 매칭	- 미리 학습된 사용자 패턴에 어긋남. - 정상적, 평균적 상태를 기준으로 급격한 변확 ㅏ있을 때 침입 판단
사용 기술	- 패턴 비교 - 전문가 시스템	- 신경망 - 통계적 방법 - 특징 추출
장점	- 빠른 속도 - 구현이 쉬움. - 이해가 쉬움. - False Positive가 낮음.	- 알려지지 않은 공격(Zero Day Attack) 대응 가능 - 사용자가 미리 공격 패턴을 정의할 필요가 없음.
단점	- False Negative가 큼. - 알려지지 않은 공격 탐지 불가 - 대량의 자료를 분석하는데 부적함.	- 정상인지, 비정상인지 결정하는 임계치 설정의 어려움. - False Positive가 큼. - 구현이 어려움.

• False Positive
  • false(+)로 표현
  • 공격이 아닌데도 공격이라 오판하는 것
• False Negative
  • false(-)로 표현
  • 공격인데도 공격이 아니라고 오판하는 것

 

4. 침입 탐지 시스템 분류

구분	NIDS(Network based IDS)	HIDS(Host based IDS)
동작	- 네트워크에 흐르는 패킷들을 검사, 침입 판단 - 방화벽 외부의 DMZ나 방화벽 내부의 네트워크 모두 배치 가능	- 시스템 상에 설치 - 사용자가 시스템에서 행하는 행위, 파일의 체크를 통해 침입 판단 - 주로 웹 서버, DB 서버 등의 중요 서버에 배치
자료원	- promisecuous 모드로 동작하는 네트워크 카드나 스위치	- 시스템 로그 - 시스템 콜 - 이벤트 로그
공격	- 스캐닝 - 서비스 거부 공격(DoS) - 해킹	- 내부자에 의한 공격 - 바이러스 - 웜 - 트로이목마 - 백도어
장점	- 네트워크 자원의 손실 및 패킷의 변조가 없음 (캡처만 하기 때문) - 거의 실시간으로 탐지가 가능함. - 감시 영역이 아니라 네트워크 서브넷으로서, HIDS에 비해 큼.	- 침입의 성공 여부 식별이 가능함. - 실제 해킹 및 해킹 시도 판단이 용이 - 주로 S/W적으로 서버 같은 시스템에 설치되며, 설치 및 관리가 간단함.
단점	- 부가 장비가 필요함 (스위치 등) - 암호화된 패킷은 분석 불가 - False Positive가 높음. - 오탐으로 인해 정상적인 세션이 종료 - DoS의 경우 대응이 불가능 (탐지만 가능) - 능동적인 대응 기능 미비	- 감시 영역이 하나의 시스템으로 한정됨. - 탐지 가능한 공격에 한계가 있음. (주로 이벤트 로그로만 탐지) - 오탐으로 인해 정상적인 사용자가 자신의 계정을 사용할 수 없는 문제

• Hybrid IDS
  • NIDS + HIDS
  • 단일 호스트를 출입하는 네트워크 패킷을 검색 시스템의 이벤트, 데이터, 디렉터리, 레지스트리에서 공격 여부를 감시하여 보호함.

 

---

 

내용 출처 : 이기적 네트워크관리사 1·2급 필기 (임호진, 황성하 공저, 영진닷컴)