IDS/IPS 정리

IDS란?

비정상적인 트래픽을 실시간으로 탐지하는 보안 솔루션

 

IDS분류

IDS는 네트워크 기반의 NIDS와 호스트 기반의 HIDS로 분류된다

NIDS : 네트워크 트래픽을 분석하고 탐지하는 역할 수행

HIDS :  중요 운영체제 파일을 모니터링하는 역하 수행

Application-based IDS : 어플리케이션 한정 범위 내에서 모든 현황들을 모니터링하는 역할 수행

 

IDS탐지 방법

1. 이상 징후 기반 IDS

행위 기반 탐지 방식이라고 불리며 특정 범위 내에서 행동을 추적하여 악의적인 행위를 찾는 방식이기 때문에 사람의 행동을 악성 행위로 간주하는 등의 오탐이 발생할 수 있다.

시그니처 기반 방식으로 탐지하지 못한 악성 파일이나 패킷을 찾을 수 있다

 

2. 시그니쳐 기반 IDS

지정된 데이터에 의해서 지정된 시그니쳐를 갖는 파일이나 패킷을 탐지하기 때문에 오탐률이 낮고 탐지할 수 있는 범위가 제한적이다.

 

 

 

 

 

IPS란?

비정상적은 트래픽에 대해 차단, 격리 등의 방어조치를 취하는 보안 솔루션

 

IPS분류

NIPS :  전체 네트워크 상 의심스러운 트래픽을 식별

HIPS : 호스트에서 발생하는 이벤트를 분석하여 각 호스트에서 발생하는 의심스러운 위협을 식별

WIPS : 무선 네트워크 프로토콜 대상을 식별

NBA : 네트워크 트래픽을 분석하여 DDOS 공격 등의 비정상 트래픽 흐름의 위협을 식별

 

IPS탐지 방법

1. 시그니처 기반 탐지

시그니처 기반 IDS의 탐지 방법 통해 미리 구성된 패턴과 비교 차단

 

2. 통계적 이상 징후 기반 탐지

이상 징후 기반 IDS수준의 네트워크 트래픽을 모니터링하고 비교 차단

잘못된 설정으로 오탐 경고 발생할 수 있다

 

3. 상태 프로토콜 분석 탐지

프로토콜 분석을 상태 기반 특성에 추가하여 탐지

HTTP, FTP, TCP, UDP의 페이로드를 포함하는 프로토콜을 검사

공격자가 공격하는 행위를 어플리케이션 계층에서 확인 가능하며 세션으로 연계되어 있는 패킷에 대해서도 탐지가 가능