[네트워크보안] 침입탐지시스템(IDS)

침입탐지 시스템 (IDS)

침입탐지 시스템(IDS)이란 컴퓨터/네트워크에서 발생하는 이벤트들을 모니터링(Monitoring)하고, 침입 발생 여부를 탐지(Detection)하고, 대응(Response)하는 자동화된 시스템을 말한다. 

 

-목차-
1.침입탐지 시스템 개요
2. 침입탐지 시스템 구조
3. 침입탐지 시스템 절차
4. 침입탐지시스템 분류

---

 

1. 침입탐지 시스템 개요

 

 등장 배경

침입 탐지 시스템은 인가된 내부사용자의 불법적인 행위 증가와 정상포트(웹, 전자우편 등)를 통한 악성코드 유입 증가로 인해 등장하게 되었다.

 

기능

침입 탐지 시스템의 기능은 크게 6가지가 있다.

•  네트워크의 실시간 감시
• 네트워크의 전용선과 생산성 향상 및 남용방지
•  정책에 의한 특정 서비스의 차단 및 로그
•  침입 시도 재연 기능
•  침입 분석 및 네트워크 사용 분석레포트 제공
•  실시간 로그인 및 경고

 

---

 

2. 침입탐지 시스템 구조

 

침입 탐지 시스템은 일반적으로 네개 부분으로 나눠진 구조로 되어있다.

 

 

Event generator (E-Box)

- 모든 이벤트에 대한 데이터 수집용인데 가장 중요하다. 이벤트가 아닌걸 걸러주어야 해서 어떻게 만드는지가 중요하다. 

 

Event analyzer (A-Box)

-E박스에서 수집된 데이터를 분석해서 침입을 탐지하는 역할을 한다. 

 

Event databases (D-Box)

- E박스의 센서로 A박스에서 침입을 탐지하면 이 데이터는 D박스에 저장된다. 데이터를 저장하는 이유는 침입을 재현하기 위해서다. 어떤 침입이 있었는지를 알아내면 대응할 수 있기 때문이다. 저장되는 데이터는 주로 이벤트 관련 데이터인데, 이벤트를 어떻게 모으고 수집된 데이터양을 어떻게 줄일건지가 D박스 소프트웨어 개발의 핵심이다. 그래서 A박스와 E박스는 덩치가 큰 편이지만 D박스와 R박스는 덩치가 작은 편이다. 

 

Response units (R-Box)

- R박스는 탐지된 침입에 대한 대응행동을 수행한다. 침입이 있었다면 알려주어야 대응을 할 수 있다. 대게 개인 통신 장치로 알려주는 편이다. 스마트폰이 개발되기 전에는 삐삐로 알려주던 시절도 있었다. 이러한 대응방식을 수동적인 대응이라고 한다. 능동적 대응방식은 시스템 가용성같은 부분에서 문제가 생길 수 있다. 

 

---

 

3. 침입탐지 시스템 절차

침입탐지시스템은 내부적인 문제에 의해서 등장하게 되었다. 옛날 네트워크는 멀티풀엑세스를 사용해서 가만히 있어도 스니핑이 됐었다. 요즘엔 스위칭허브를 사용하기때문에 패킷이 중간에서 날아가는 일이 없어 스니핑이 안된다. 할려면 일일히 해야한다. 

 

정보수집 (Data Collection)

• 호스트 로그 정보 수집
- 프로그램/프로세스의 변수

• 멀티호스트간 로그 정보 수집
- 호스트간 통신 필요

• 네트워크 패킷 수집
- 패킷 수집 및 프로토콜 해석 기술

 

정보가공 및 축약 (Data Reduction)

• Raw 데이터로부터 의미있는 정보로 가공
- 실시간 침입판정을 위한 최소한의 정보
- 자체의 Audit Record로서의 의미

 

침입분석 및 탐지(Intrusion Detection)

• Anomaly Detection (비정상행위 탐지)
- 비정상적인 행위나 컴퓨터 자원의 사용을 탐지
- 정해진 모델을 벗어나는 경우를 침입으로 간주
- 구현 비용이 큼

• Misuse Detection (오용탐지)
- 시스템과 응용프로그램의 취약점을 이용한 공격을 탐지
- 정해진 모델과 일치하는 경우를 침입으로 간주
- Auditing 정보에 대한 의존도가 높음

 

보고 및 조치

• 침입 발견시 즉각적으로 보고 및 해당 조치 사항 수행
• 침입 진행 상황 보고
• 침입 재연 기능

 

---

 

4. 침입탐지시스템 분류

 

 

 

---

궁금하신점 있으시면 댓글 남겨주세요.