정보보호론-(22) 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS)

정보보호론-(22) 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS)

침입 탐지(Intrusion Detection)
- 보안 방어선을 뚫고 비인가된(unauthorized) 방법으로 내부 자원을 접근하거나 접근하고자 시도하는 사건(event)들을 모니터링하고 분석하여, 보안 사고(Security Incident)의 징후(Sign)을 찾아내고 기록(logging)하며 경고(alert)하는 일련의 과정
- 침입 탐지(Detection) -> 경고(alert)

침입 탐지 시스템(Intrusion Detection System)
- 침입 행위에 대한 탐지 작업을 자동으로 수행하는 시스템
- 사용자 인증, 방화벽, 접근 제어 방법을 사용하더라도 완벽한 침입 차단은 불가능하므로 내부 침입이 발생함을 깨닫고 빠르게 대응하는 것이 중요

네트워크 기반 침입 탐지 시스템(NIDS, Network-based Intrusion Detection System)
- 네트워크의 특정 지점들에서 네트워크 트래픽들을 모니터링하여 침입 탐지

무선 침입 탐지 시스템(WIDS, Wireless Intrusion Detection System)
- 무선 통신 구간의 네트워크 트래픽들을 모니터링하여 침입 탐지

호스트 기반 침입 탐지 시스템(HIDS, Host-based Intrusion Detection System)
- 특정 호스트 컴퓨터에서 발생하는 사건들을 모니터링하여 침입 탐지

분산 호스트 기반 침입 탐지 시스템(DHIDS, Distributed HIDS)
- 각 호스트들의 HIDS를 상호 연결하여 침입 탐지

오용 탐지
- Misuse Detection
- Signature-based Detection
- 이미 알려진 보안 위협 공격 기법의 signature 표를 준비하고 해당 유형의 공격을 탐지하는 기법
- 장점 : 알려진 위협 탐지에 효과적
- 단점 : 새로운 위협을 탐지할 수 없음

비정상행위기반 탐지
- Anomaly-based Detection
- 시스템 정상 행위들을 프로 파일링하고 프로 파일링에 일탈 행위(deviation)에 해당하는 행위를 탐지하는 기법
- 장점 : 새로운 위협을 탐지할 수 있음
- 단점 : 시간이 오래걸리고 어려움

허니폿(Honeypot)
- 의도적으로 공격자들의 침입을 유도하도록 설계된 특수한 시스템
- 공격자가 허니폿을 공격했던 기록을 수집함

침입 방지 시스템(Intrusion Protection System)
- 침입 탐지 시스템(IDS)에 침입을 방지할 수 있는 기능이 추가된 것
- IDS에 트래픽을 차단하는 기능을 추가
- IDS에 라우터, 방화벽, 스위치와 같은 장비를 제어할 수 있는 기능을 부여

Reference
1. 

제22강+침입탐지및방지시스템.pdf

0.74MB

2. https://www.youtube.com/watch?v=K6BsFniouts