IDS(Intrusion Detection System)

네트워크나 시스템의 미심쩍은 점을 조사 및 감시하고 필요한 조치를 취하는 시스템이다. 예를 들어, 방화벽이 잠겨있는 문이라면, 침입 탐지 시스템은 그 방안에 설치되어 움직임을 알아내는 감지 장치라고 할 수 있다. IDS에 적용되는 방식에는 특정한 종류의 공격을 확인해내는 것부터, 비정상적인 트래픽을 찾아내는 방식까지 다양하다.

IDS의 정의

- 정보시스템의 무결성, 기밀성, 가용성을 위협하는 내외부의 불법적인 사용자에 의한 정보시스템의 침입을 탐지하고 이에 대응하기 위한 시스템

- 어떠한 유해 트래픽을 탐지하여 알려주는 기술

IDS의 특징

- 침입의 탐지가 주 목적으로 그에 대한 대응기능이 부족

- 침입 관련 이벤트 정보 수집보다 그 정보의 분석 알고리즘이 중요

IDS의 기능

경보기능

해커에 의한 네트워크나 시스템의 탐지 그리고 직접적인 공격에 대하여 경보, 이 메일 발송, 또는 SNMP trap발송, 기타 다른 방법들을 이용하여 관리자에게 통보한다. 이러한 사전 통보를 통하여 네트워크 관리자 및 시스템 관리자는 능동적으로 전산 자원의 손실을 사전에 방어할 수 있게 된다.

세션 차단기능

침입탐지 시스템은 의심스러운 행위를 감지하면 해당 세션을 차단하는 기능을 제공한다. 이는 다른 서비스에 영향을 주지 않고 효과적으로 해당 공격 시도를 선별적으로 막아주는 기능이다. 이 기능은 공격 대상 호스트로 접근 중인 네트워크 세션을 감지한 후 침입탐지 시스템이 그 공격대상 시스템을 가장하여 공격자에게 네트워크 세션을 종료하게끔 한다. 일반적으로 Telnet, FTP와 같은 TCP 세션에 대해서는 TCP FIN 또는 RST(reset) 패킷을 공격자에게 전달하여 세션이 끊어지게 하며 SNMP 또는 Name service와 같은 UDP 세션(UDP에서 세션은 모순되는 말이지만)은 ICMP의 "port unreachable" 메시지를 전달하여 더 이상의 진행을 차단하게 된다.

셔닝(shunning) 기능

이 기능은 IDS 자체로 의심스러운 탐지나 공격을 차단하는 것이 아니라 라우터나 Firewall에게 공격자나 의심스러운 자의 근원지 IP 주소와 서비스 포트에 대해 해당 패킷을 막도록 지시하는 기능이다. 그렇게 함으로써 그 다음부터 오는 동일 패킷들은 폐기된다. 이러한 연동 기능은 일반적으로 발생할 수 있는 프로토콜의 오류에 대해서도 민감하게 동작하기 때문에 그 효용성에 대해 조심스럽게 검토하여야 하며 충분하게 네트워크 트래픽에 대한 검토 후 적용되어야 한다. 또한 라우터에 ACL(Access Control List)를 적용하게 되는 경우 라우터의 성능을 저하시켜 높은 트래픽을 가지고 있는 환경에서는 서비스에 지장을 초래할 수도 있다.

사용자 프로그램의 실행

일부 침입탐지 시스템의 경우 지정된 이벤트에 따라 특정한 사용자 프로그램을 실행할 수 있도록 한다. 공격자로부터 탐지나 공격에 대하여 적절한 대응 방안에 대해 사용자 환경에 맞게 적용할 수 있으므로 유용한 기능이며 필요하다면 해킹 발생에 대하여 시스템의 순서적인 정지를 가능하게 할 수 있다.

탐지방법에 의한 IDS 분류

기능	내용
비정상 침입탐지	비정상 침입 탐지 모델은 다르게 Profile-based 탐지 모델이라고도 한다. 이는 네트워크 상의 사용자의 행동을 수집하고 분석하여 통계적 분석에 의해 변칙적 행위를 감지하게 된다. 보편적인 통계적 처리 방법을 이용가능 오용 탐지 방식과 비교하여 보안 인적 자원 비중이 적다. 시스템 자원의 비중이 요구됨 통계적 기준을 정함으로 탐지 결과의 확실성이 떨어진다.
오용 침입탐지	오용탐지 모델은 다른 말로 Signature-based 탐지 모델이라고도 한다. 이는 알려진 시스템의 취약점을 이용하는 침입방법의 패턴이나 특정 수단에 대한 signature를 정의하고 그에 따른 트래픽을 비교함으로써 침입을 탐지하는 방식이다. 시스템 자원의 비중이 적다. 탐지 확률이 높다. 신규 해킹 출현 시 마다 새로운 signature 반영이 필요Signature 관리를 위한 보안 전문인력이 필요.

구현 형태에 의한 IDS 분류

기능	내용
H-IDS (호스트기반 IDS)	단일 호스트에 설치되어 해당 시스템의 감사 데이타를 사용해 침입을 탐지하는 시스템이다. 이 방식은 대부분 해당 시스템의 파일들에 대한 무결성을 점검한다. 즉, 그 호스트의 중요한 파일이나 보안 관련 파일들이 수정되었는지 또는 임의의 사용자가 사용자 자신의 보안 수준을 넘는 파일들로 접근하려 시도했는지를 감지한다. 호스트 기반의 침입탐지 시스템은 해당 호스트에 설치되므로 시스템 별로 호환성의 문제를 갖고 있으며 시스템 자원에 부하를 줄 수 있는 단점이 있다. 대신 네트워크 환경에 구애 받지 않는 장점을 가지고 있다. 콘솔 작업자의 공격을 차단 관리와 유지보수가 어려움 대규모 네트워크 지원이 곤란 호스트 성능에 영향을 미침
N-IDS (네트워크기반 IDS)	네트워크 기반의 침입탐지 시스템들은 통상 전 네트워크 세그먼트를 감시하는 전용의 시스템들이다. 대부분의 경우 Firewall 외부 네트워크 세그먼트나 내부의 주요 네트워크 세그먼트에 설치한다. 네트워크 기반의 IDS는 네트워크 상에 흘러다니는 모든 패킷들을 검사하여 알려진 공격들이나 의심스러운 행동에 대하여 분석하게 된다. 호스트 기반 IDS와 달리 네트워크 세그먼트를 감시하므로 효과적인 침입탐지 환경을 갖출 수 있고 보호하는 네트워크 서버들의 호환성과 상관없이 기존 서비스의 중단 및 영향 없이 시스템을 구축할 수 있게 한다. 다만 네트워크 상의 흘러다니는 모든 트래픽을 검사하므로 네트워크 트래픽 용량에 영향을 많이 받는 단점이 있다. 저렴한 비용으로 효과적인 보안 처리가 가능 대규모 네트워크 지원 호스트 공격 전에 탐지 가능 콘솔 작업자의 공격은 탐지 못함

IDS 도입 시 고려사항

- IDS의 네트워크 구성 상에서의 위치는 어떻게 할 것인지 결정

- 방화벽보다 전문적인 보안 지식을 요하므로 보안전문가 배치 필요

- 지속적인 탐지 패턴의 업그레이드가 용이한지 검토

- 요구하는 기대치에 부합하는지 성능 검토

IPS( Intrusion Prevention System) - 차세대 능동형 보안 솔루션 - 인터넷 웜 등의 악성 코드 및 해킹 등에 기인한 유해 트래픽을 차단해 주는 솔루션 - IDS는 특정 패턴을 기반으로 공격자의 침입을 탐지하는 반면 IPS는 공격 탐지를 뛰어 넘어 탐지된 공격에 대해 웹 연결을 끊는 등 적극적으로 막아주는 솔루션 - 현재 보안 장비들은 이러한 기능을 모두 탑재하고 있으며 특별히 따로 구분을 하지 않고 있음