Section 42 41강. Section 27. IDS/IPS 1. 침입탐지시스템(IDS)

- 침입탐지시스템(IDS)

 > 비정상적인 사용과 오용, 남용 등의 행위를 실시간으로 탐지하여 관리자에게 메시지를 보내고 대응하는 시스템

 > IDS 장단점

장점	단점
내부 사용자의 오/남용 탐지 및 방어 기능	대규모 네트워크 사용 곤란 즉각적인 대응 곤란

 

 > IDS 실행 단계

 ● 데이터 수집 : 탐지대상으로부터 생성되는 데이터를 수집하는 감사데이터 수집 단계

 ● 데이터 가공 및 축약 : 수집 된 감사데이터를 침입 판정이 가능하도록 의미 있는 정보로 전환

 ● 침입 분석 및 탐지 단계 : 

 1) 시스템의 비정상적인 사용을 탐지하는 비정상적 행위  탐지 기법

 2) 시스템의 취약점, 응용 프로그램의 버그 등을 탐지하는 오용 탐지 기법

 ● 보고 및 대응

 

 > IDS의 종류

탐지방법	대응방법	데이터 수집원	탐지 시점
- 행위기반 - 지식기반	- 수동적 - 능동적	- 호스트 로그파일 - 네트워크 패킷	- 사후 분석 - 실시간 분석

---

- 탐지방법에 따른 의한 분류

분류	오용(MiSuse)	비정상(Anomaly)
특징	- 비정상 case 등록 - 시그니처 패턴 - 지식기반 - 전문가 시스템	- 정상패턴 수집 - 신경망모델(적응학습 기술) - 인공지능AI
ZeroDay Attack	탐지 불가능	탐지 가능
단점	F(-) ↑ False negative(미탐)	F(+) ↑ False Positve(오탐)

 

 > 규칙-기반 침입탐지(오용 침입탐지)

 ● 시스템로그, 네트워크 입력정보, 알려진 침입방법, 비정상적인 행위(시그니처 패턴) 특징을 비교하여 탐지하는 방법

 ● 기존의 침입방법을 데이터베이스에 저장해두었다가 기존의 침입 패턴과 일치 또는 유사할 시 침입이라 판단

 (데이터베이스 관리가 어려움)

 ● 새로운 공격이나 침입 방법이 출현하였을 경우 그에 맞는 공격 패턴을 생성하여 추가

 ● 기존 공격 패턴을 정확하게 유지하고 있다면 비정상 행위 탐지 방법보다 오탐 확률을 감소 시킬 수 있음

 

 > 통계적 변형 탐지(비정상 침입탐지)

 ● 관찰 된 사건들을 정상적인 행위에 대한 정의들과 비교하여 일탈행위(Deviation)를 식별

 ● 정상적인 행위 패턴을 프로파일로 생성하고 행위가 프로파일 범위를 벗어날 경우 탐지

(일정기간 정상적인 행위를 한 데이터를 기반으로 작성)

 ● 오용침입탐지보다 데이터베이스 관리가 용이하며 ZeroDay Attack 탐지 가능

 ● 프로파일과 실제 입력정보를 비교하는 시간 지연으로 실시간 탐지가 어렵고 탐지 정확성을 높이기 위한 기준(임계치 설정)이 어려움

분류형태	특징	장점	단점
지식기반/오용침입탐지	- 특정 공격에 관한 분석결과를 바탕으로함 - 시그니처와 비교하여 일치하는 경우 침입으로 간주	- 오탐률(False Negative) 낮음 - 전문가 시스템(추론기반, 지식베이스) 이용 - 트로이목마, 백도어 공격 탐지 가능	- 새로운 공격탐지가 어려움  - 지속적인 공격패턴 갱신 필요
행위기반/비정상행위 침입탐지	- 사용자의 행동 양식을 분석하여 정상적인 행동과 비교해 이상한 변화 발생 시 침입으로 탐지	- 인공지능 알고리즘 사용으로 스스로 판단 및 수작업 패턴 업데이트 불필요 - ZeroDay Attack 탐지 가능	- 오탐률(False Positive) 높음 - 정상과 비정상 구분을 위한 임계치 설정 어려움

---

- 데이터 수집원에 의한 분류

 > 네트워크 기반 IDS(N-IDS)

 ● 네트워크를 통해 전송되는 패킷 정보를 수집/분석하여 침입을 탐지

 ● 무차별 모드(Promiscuous mode)에서 동작하는 네트워크 인터페이스(NIC)에 설치

 ● 장/단점

장점	단점
- 트래픽을 감시할 수 있는 몇몇 위치에만 설치하므로 구축 비용 저렴 - 구현 및 관리가 쉬움	- 암호화된 패킷을 분석할 수 없음 - 규모가 적을 경우 H-IDS보다 구축비용 더 들 가능성 있음

 > 호스트 기반 IDS(H-IDS)

 ● 시스템의 감사 자료를 이용하여 침입 탐지

 ● 장/단점

장점	단점
- 정확한 탐지가 가능하며 다양한 대응책 수행 - 암호화 및 스위칭 환경에 적합 - 추가적인 하드웨어가 필요하지 않음	- 다양한 OS 지원 필요 - 구현이 용이 하지 않음

---

- IDS 위치

 > 1순위 : F/W 뒤

 > 2순위 : DMZ 구간

 > 3순위 : 내부 네트워크 구간

 > 4순위 : F/W 앞

---

- 허니팟(Honeypot) : 유도/유인

 > 공격자에 대한 조기 경보 제공, 보안 전략의 결점 파악 등 보안 케머니즘을 향상시키는 기능 수행

 > 실제로 자료를 가진 호스트인것처럼 존재하여 해커 등을 속여 행동, 공격 기법등을 분석하는 데 사용

(즉, 네트워크 상에 희생양 역할로 구성)

 > 허니넷 : 다수의 퍼니팟으로 구성 된 네트워크

 > 허니팟 요건

 ● 해커에게 쉽게 노출 되어야함

 ● 시스템의 모든 구성 요소를 갖추고 있어야함

 ● 시스템을 통과하는 모든 패킷을 감시

---

- 이상 금융거래 탐지시스템(FDS)

 > 전자금융거래에 사용되는 단말기 정보, 접속 정보, 거래 ㄴ내용등을 종합적으로 분석하여 의심거래를 탐지하고 이상금융거래를 차단하는 시스템

---

- 스노트(Snort)

 > 실시간 트래픽 분석, 프로토콜 분석, 내용검색/매칭, 침입탐지 Rule에 의거하여 오버플로우 포트스캔 CGI공격 등 다양한 공격과 스캔 탐지

 > snort 룰 형식

 ● 헤더와 바디 부분으로 구성

 ● 룰 헤더 형식 : action : protocol : source IP : source Port : direction : destination IP : destination Port

 ● 부정 연산자 : ! (느낌표를 앞에 적음)

 ● 1:1023 : 1~1023까지 포트, :1024 : 1024이하 포트, 1024: : 1024이상 포트

 ●  방향지시자 : → 출발지에서 목적지 정보(단, ← 방향지시자는 없음) <> 양방향