침입 탐지 및 방지 시스템

IDS(침입 탐지 시스템)란

시스템의 정상적인 네트워크 운영과 비정상적이고 잠재적으로 유해한 활동을 구분하며 네트워크에 연결된 잠재적 위협과 취약점을 식별합니다.
네트워크 트래픽을 검사하여 데이터 전송에 개입하지 않고도 관리자에게 의심스러운 활동을 경고하는 역할을 합니다.

유형

  • 시그니처 기반 IDS

  • 이상 징후 기반 IDS

동작 원리

장점
  • 항시 모니터링: 서비스 중단이나 지연 없이 안전하게 네트워크를 모니터링합니다.
  • 다양한 위협 탐지: 정상적이지 않은 트래픽 패턴부터 알려진 위협까지 다양한 공격을 탐지할 수 있습니다.
  • 유연성: 다양한 환경에 적용이 가능하며 위치에 따른 제약이 적습니.
단점
  • 반응의 부재: 공격을 단순히 탐지하고 알릴 뿐 자동으로 차단하지 않습다.
  • 미탐 가능성: 패턴에 없는 새로운 공격은 탐지가 불가능합니다.
  • 우회 가능성: 공격자가 IDS의 탐지 메커니즘을 알 경우, 우회하는 방법으로 공격을 시도할 수 있습니다.

IPS(침입 방지 시스템)란

위협이 네트워크 방어에 침투하기 전에
선제적으로 작동하여 위협을 완화하는 등
악성 트래픽을 실시간으 차단하고 분석하는 동적 보안 솔루션입니다.

유형

  • 데이터 수집 방식
    • HIPS
    • NIPS
  • 탐지 방식
    • Misuse
    • Anomaly

동작 원리

장점
  • 능동적인 방어: 실시간으로 위협에 대응하며, 자동으로 공격을 차단합니다.
  • 다양한 차단 기능: IP 주소, 프로토콜, 특정 서명 등 다양한 방법으로 위협을 차단합니다.
  • 동적 업데이트: 새로운 위협 패턴에 빠르게 대응할 수 있습다.
단점
  • 오탐 가능성: 공격 패턴 학습자체가 잘못되는 경우에는 침입이 아닌데, 침입이라고 판단 할 수가 있습니다.
  • 성능 부하: 높은 성능의 장비가 필요할 수 있습니다.
  • 네트워크 속도 저하 가능성: 패킷을 일일히 분석하고 대응하기 때문에, 장비 성능에 따라 네트워크 속도가 저하될 수 있습니다.

IDS와 IPS의 차이점

구분 IDS IPS
목적 모니터링하여 악의적인 행위나 정책 위반을 감시 트래픽을 분석하여 식별된 위협을 실시간으로 검사하고 방지
운영 트래픽을 관찰하고 공격 패턴이나 이상 징후를 찾아 경고 트래픽에 대한 실시간 공격을 검사하고 탐지 시 이를 차단하기 위해 개입
기능 탐지 / 분석 / 보고 차단 / 탐지 / 분석 / 보고
트래픽 경로 방화벽을 통과한 후 트래픽을 분석 필터링된 트래픽을 검사하기 위해 방화벽 뒤에 배치
무단 트래픽에 대한 대응 의심스러운 활동을 감지하면 경고 탐지된 위협의 진행을 적극적으로 방지

활용 방법

방화벽으로 초기 트래픽을 필터링한 뒤,
IDS와 IPS는 필터링된 트래픽을 분석하여 잠재적인 위협을 확인하는 식으로 활용합니다.
계층화된 접근 방식은 위협이 방화벽을 우회하더라도
IDS가 관리자에게 의심스러운 활동을 경고하고
IPS가 위협으로 인한 피해를 방지하기 위해 조치를 취할 수 있도록 합니다.

Categories:

Updated: