1. 정의
IDS는 외부에서 내부로 들어오는 패킷이 정상인지 아닌지(침입 여부)를 탐지하는 시스템이다. 여기서 탐지는 단지 잡아내기만 한다는 것이며, 실제 차단행위는 취하지 않는다. CCTV를 생각하면 이해하기 쉬운데, IDS는 CCTV처럼 해킹 시도에 대한 로깅 작업을 한다고 이해하면 된다. 이렇게 잡아낸 흔적은 분석 과정을 거쳐 방화벽 등에서 차단하는 작업으로 이어져야 비로소 해킹 대응 과정이 마무리되기 때문에 IDS 하나만으로는 뭔가 발견할 수 있지만 그 자체로 완벽한 보안 대책이 아니다.
장점 |
단점 |
1. 해킹에 대하여 침입 차단 시스템보다 적극적인 방어 가능 2. 내부 사용자의 오남용 탐지 및 방어 가능 3. 해킹 사고 발생 시 어느 정도의 근원지 추적 가능 |
1. 대규모 네트워크에 사용 곤란 2. 관리 및 운영이 어려움 3. 새로운 침입 기법에 대한 즉각적인 대응 곤란 4. 보안 사고에 대한 근본적인 해결책이 되지 못함 |
IDS의 장단점을 정리한 것은 위 표와 같다.
2. IDS 실행 단계
데이터 수집 -> 데이터 가공 및 축약 -> 침입 분석 및 탐지 -> 보고 및 대응 |
IDS의 실행 단계는 위 순서와 같다.
단계 |
설명 |
데이터 수집 |
탐지 대상(시스템 사용 내역, 패킷)으로부터 생성되는 데이터를 수집하는 감사 데이터 수집 |
데이터 가공 및 축약 |
수집된 검사 데이터를 침입 판정이 가능하도록 의미 있는 정보로 전환 |
침입 분석 및 탐지 |
비정상적 행위 탐지 기법(비정상적인 행위), 오용 탐지 기법(취약점 버그), 하이브리드 탐지 기법 |
보고 및 대응 |
침입으로 판정된 경우 이에 대한 적절한 대응을 자동으로 취하거나 보안 관리자에게 알려 조치 |
3. 데이터 수집원에 의한 분류
3.1 네트워크 기반 IDS (NIDS, Network Based IDS)
NIDS는 IDS 장비를 네트워크 앞단에 설치해 두고 네트워크에서 오가는 트래픽들을 분석하는 시스템이다.
특징
- 네트워크 전체를 몇 개의 감지기를 통해 커버하므로 비용이 저렴하다.
- 운영체제에 독립적이다.
- 흘러가는 트래픽을 수집하여 분석하므로 해커가 임으로 지우기 어렵다.
- 암호화된 트래픽은 분석이 불가능하다.
- 고속 네트워크에선 패킷 손실이 많다.
- 호스트 내부에서 벌어지는 비정상적인 행위에 대해선 감지가 불가능하다.
3.2 호스트 기반 IDS (HIDS, Host Based IDS)
HIDS는 개별 호스트 시스템에서 수집된 감사자료를 분석하고 비정상 행위를 탐지하는 시스템이다. 주로 웹서버, 데이터베이스 서버 등 중요 서버에 위치한다.
특징
- 탐지가 정확하며, NIDS와 다르게 모두 복호화된 데이터를 분석하고 패킷의 손실도 없다.
- 추가적인 장비가 필요하지 않다.
- 운영체제에 종속적이다. (리눅스 전용 IDS면 윈도우 서버에선 못 쓴다.)
- 시스템에 부하가 발생한다.
- 구현이 어렵다.
4. 탐지방법에 의한 분류
4.1 지식(규칙)기반 침입탐지 (Knowledge Based Detection)
오용 탐지라고도 부르며 기존의 침입 방법(시스템 로그, 네트워크 입력정보, 알려진 침입방법, 비정상 행위 패턴)을 입력하여 사용자 행동 패턴이 기존의 침입 패턴(시그니처)과 일치하거나 유사한 경우 침입으로 판단한다. 새로운 공격이나 침입 방법이 출현하였을 경우에는 그에 맞는 패턴을 생성하여 추가한다.
장점 |
단점 |
1. 오탐률(False Positive)이 낮음 2. 전문가 시스템(추론기반 지식 베이스)을 이용 3. 트로이 목마, 백도어 공격 탐지 가능 |
1. 새로운 공격탐지를 위해 지속적인 공격 패턴 갱신이 필요 2. 패턴에 없는 새로운 공격에 대해서는 탐지가 불가능 |
지식 기반 침입탐지의 장단점을 정리한 것은 위 표와 같다.
4.2 행위(통계적 변형)기반 침입탐지 (Anomaly Detection)
관찰한 사건들을 정상적인 행위에 대한 정의(프로파일)들과 비교하여 심각한 수준의 일탈 행위를 식별한다. 통계적인 분석을 사용하며 형태 관찰, 프로파일 생성, 프로파일 기반으로 이상 여부를 확인한다. (로그인 횟수, 패킷량 등)
장점 |
단점 |
1. 인공지능 알고리즘 사용으로 스스로 판단하여 수작업의 패턴 업데이트 불필요 2. 오용 탐지 기법보다 데이터 베이스 관리가 용이하고 알려지지 않은 공격 (Zero-Day Attack)도 탐지 가능 3. 침입 이외의 시스템 운용사으이 문제점도 발견할 수 있음 |
1. 오탐률(False Positive)이 높음 2. 정상과 비정상 구분을 위한 임계치 설정이 어려움 |
행위 기반 침입탐지의 장단점을 정리한 것은 위 표와 같다.
5. 참고문헌
1. https://peemangit.tistory.com/212
2. http://itwiki.kr/w/%EC%B9%A8%EC%9E%85%ED%83%90%EC%A7%80%EC%8B%9C%EC%8A%A4%ED%85%9C