침입 탐지 시스템
(IDS, Intrusion Detection System)
침입 탐지 시스템(Intrusion Detection System, IDS)은 일반적으로 시스템에 대한 원치 않는 조작을 탐지하여 준다.
침입 탐지 시스템은 전통적인 방화벽이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및 컴퓨터 사용을 탐지하기 위해 필요하다.
탐지 범위 :
- 네트워크 공격
- 호스트 기반 공격 : 애플리케이션에서의 데이터 처리 공격(data driven attack), 권한 확대(privilege escalation), 침입자 로그인 / 침입자에 의한 주요 파일 접근 / 악성 소프트웨어(컴퓨터 바이러스, 트로이 목마, 웜)
IDS는 여러 개의 구성 요소로 이루어져 있다:
- 센서는 보안 이벤트를 발생시키며
- 콘솔은 이벤트를 모니터 하고 센서를 제어하거나 경계시키며(alert)
- 중앙 엔진은 센서에 의해 기록된 이벤트를 데이터베이스에 기록하거나, 시스템 규칙을 사용하여 수신된 보안 이벤트로부터 경고를 생성
IDS를 분류하는 방법은 센서의 종류와 위치 그리고 엔진이 경고를 만드는 데 사용하는 방법론 등에 따라 여러 가지가 있다.
침입 탐지 시스템의 기능
1. 데이터 수집
IDS는 설치 위치와 목적에 따라 크게 두 가지로 나뉜다. 호스트 기반인 HIDS와 네트워크 기반인 NIDS
2. 데이터 필터링과 축약
IDS에서 모이는 데이터가 매우 방대하기 때문에 정확하고 빠른 시간 내에 파악하도록 처리하기 위함.
클래핑 레벨을 설정하면 일정 수 잘못된 패스워드를 입력하면 로그를 남기는 것.
3. 침입 탐지
침입 탐지 기법에 따라서 크게 오용 탐지, 이상 탐지로 나눌 수 있다.
4. 책임 추적성과 대응
IDS는 침입을 알려줄 뿐 능동적인 기능이 없다. 하지만 최근에는 공격을 역추적하여 침입자의 시스템이나 네트워크를 사용하지 못하도록 하는 능동적인 기능이 많이 추가되고 있고 이 기능 또한 그런 것 중에 하나이다.
침입 탐지 시스템의 구성
1. 모니터링부
2. 분석 및 조치부
1) 정보 가공 및 축약 단계
2) 분석 및 침입 탐지 단계
3) 보고 및 조치 단계
3. 관리부
침입 탐지 시스템의 구분
✔ 모니터링 방법(설치 위치와 목적)에 따라서
1. 호스트 기반 침입 탐지 시스템 ( HIDS, Host-based IDS )
윈도우나 유닉스 등의 운영체제에 부가적으로 설치되어 운용되거나 일반 클라이언트에 설치된다.
전체 네트워크 탐지는 불가능 스스로 공격 대상이 될 때만 침입을 탐지. 비용이 많이 든다.
도구? Tripwire
2. 네트워크 기반 침입 탐지 시스템 ( NIDS, Network-based IDS )
네트워크에서 하나의 독립된 시스템으로 운용된다. TCP Dump도 하나의 NIDS가 될 수 있다. 네트워크 전반에 대한 감시를 할 수 있고 감시 영역이 상대적으로 넓다. IP 주소를 소유하지 않기 때문에 직접적인 공격은 거의 방어 가능, 존재를 숨길 수도 있다. 하지만 공격당한 시스템에 대한 결과를 알 수 없고, 암호화된 내용을 검사할 수 없다.
도구? Snort
✔ 분석 형태
1. 시그니처 분석 방법
시그니처: 알려진 공격과 시스템 오용과 관련된 것을 규정하는 패턴
시그니처를 기반으로 공격인지 아닌지 판단한다. 새로운 공격과 같은 시그니처에 없는 공격은 탐지할 수 없다. (미탐, false negative)
2. 통계적 분석 방법
정상적 행위 패턴으로부터 그 편차를 찾아내는 분석 방법이다. 그래서 새로운 공격을 탐지할 수 있다.
정상 프로파일에 대해 임계치 설정이 어렵다. 그래서 임계 범위에 따라서 정상 행위인데 공격으로 탐지할 수 있다. (오탐, false positive)
✔ 침입 탐지 기법에 따라서
1. 비정상 탐지 모델 (이상 탐지)
이상 탐지 : 비정상적 침입인 컴퓨터의 비정상적인 행위나 사용에 근거한 침입을 탐지
방법 : 통계적 방법, 특성 추출 방법, 비정상적인 행위 측정, 예측 가능한 패턴 생성, 신경망 등
과거 경험 자료를 바탕으로 침입을 탐지 정보가 많을수록 탐지 가능성이 높아짐. 새로운 공격 탐지 가능
👉 통계적 분석 방법 이용
- 오탐율이 높다
- 임계치 설정이 어렵다
2. 오용 탐지 모델
오용 탐지: 시스템이나 응용 소프트웨어의 약점을 통하여 시스템에 침입할 수 있는 공격 형태
방법 : 조건부 확률, 전문가 시스템, 상태 천이 분석, 키 스트로그 모니터링, 모델 기반 침입탐지, 패턴 일치
👉 시그니처 분석 방법 이용
- 오탐율이 낮다.
- 새로운 공격에 대해서 미탐.
✔ 네트워크 구성방식
* IDS와 같은 탐지 목적은 미러 방식으로 구성
* IPS와 같은 차단 목적은 인라인 방식으로 구성
1. In-Line 방식
외부망에서 패킷이 유일될 때 유입되는 경로 상에 직접 연결하여 패킷을 검사하고 비정상적이라고 판단하면 자체에서 패킷을 차단하는 방식.
IDS에 공격이 탐지되면 해당 공격 차단 가능.
IDS 하드웨어 장애 시 네트워크 장애 발생
구성 예 ) 외부망(인터넷) - 라우터 - FW - IDS - 스위치 허브 - 네트워크망
2. Span 방식 (Mirroring)
외부망에서 패킷이 유입될 때 유인되는 경로 상에 연결하는 것이 아닌 경로의 곁가지처럼 따로 연결시키는 방식으로 TAP이나 스위치 장비를 두어 패킷을 복사하여 설루션에 보내 패킷을 검사하도록 한다.
네트워크 트래픽이 과도하게 발생하는 경우 패킷 누수 발생
네트워크 서비스 구성 변경 없이 모니터링 가능
구성 예 ) 외부망(인터넷) - 라우터 - FW - 스위치허브 - 네트워크망
IDS ┘
구성 예 ) 외부망(인터넷) - 라우터 - FW - TAP - 스위치허브 - 네트워크망
IDS ┘
Reference :
양대일, 네트워크 해킹과 보안: 정보 보안 개론과 실습, 한빛아카데미
https://ko.m.wikipedia.org/wiki/침입_탐지_시스템
[사진 출처]
https://en.bmstu.wiki/HIDS_(Host-Based_Intrusion_Detection_System)
