IDS

IDS

자원의 가용성, 무결성, 기밀성을 위협하는 비정상적인 사용, 오/남용 등의 행위를 실시간으로 감지하여 관리자에게 경고를 전송하고, 이에 대한 대응을 돕는 시스템

특징 : 내부/외부망의 접속점에 위치하여 방화벽의 부족한 부분 보강을 위해 사용

 

장점

• IPS보다 적극적인 방어가능, 내부 사용자의 오/남용 탐지 및 방어 가능
• 해킹 사고 발생시 어느 정도의 근원지 추적 가능

단점

• 대규모 네트워크에 사용에는 곤란, 관리 및 운영 어려움
• 새로운 기법에 대한 즉각적인 대응 곤란

실행 순서

데이터 수집  → 가공 및 축약 → 침입분석 및 탐지 → 보고 및 대응

종류

종류	탐지 방법	행위 기반, 지식 기반	기능적 특성
	대응 방법	수동적, 능동적
	데이터 수집원	호스트 로그파일, 네트워크 패킷
	탐지 시점	사후 분석, 실시간 분석	비기능적 특성

 

규칙기반 침입탐지(오용 탐지) 

• 기존의 침입 방법응 DB에 저장해두었다가 사용자 행동 패턴이 기존의 침입패턴과 일치하거나 유사한 경우에 침입이라고 판단한다. (+새로운 공격 패턴이나 침입 방법이 생겼을 경우 공격 패턴을 새로 추가한다)
• 쉽게 말하면, 기존 패턴과 비교해서 일치하면 침입으로 판단

행동기반 침입탐지 (비정상 행위 침입탐지)

• 관찰된 사건들을 정상적인 행위에 대한 정의들과 비교하여 심각한 수준의 일탈 행위 식별
• 오용탐지보다 DB관리가 용이하고 Zero-Day(알려지지 않은 공격)도 탐지가 가능
• 시스템 운용상의 문제점도 찾을 수 있음

분류	특징	장점	단점
규칙기반	특정 공격에 관한 분석결과를 바탕으로 패턴 설정. 패턴과 일치하면 침입으로 판단	오탐률↓, 전문가 시스템 사용 트로이목마, 백도어 공격 탐지가능	새로운 탐지를 위해 지속적인 공격 패턴 갱신 필요함, 제로데이 탐지 불가함
행동기반	행동양식을 분석후 정상적인 행동과 비교, 급격한 변화가 발견되면 침입으로 판단	AI알고리즘 사용으로 스스로 판단 →수작업 패턴 업데이트 필요 x 제로데이 공격도 탐지 가능	오탐률 ↑ 정상, 비정상 기준이 불확실

 

---

IDS > NIDS / HIDS

IDS는 네트워크 기반, 호스트 기반으로 나뉜다

 

네트워크 기반 IDS

• 패킷 헤더, 데이터 및 트래픽의 양, 응용 프로그램의 로그 등을 분석해서 침입여부를 판단한다
• 즉, 시스템 감사자로 분석하지 않고, 네트워크 정보를 기반으로 위협을 탐지한다
• 감지기를 사용해서 네트워크 트래픽을 실시간으로 모니터링하고 분석

*감지기: 비정상적인 패턴이나 의심스러운 활동을 탐지하는 역할( 네트워크 정보를 바탕으로 위협을 찾음)

 

장점

• 트래픽을 감시할 수 있는 몇 몇 위치에서만 설치하기 때문에 초기 구축 비용이 저렴하다
• OS에 독립적이라 구현, 관리가 쉽다
• 캡쳐된 트래픽에 대해서는 침입자가 흔적을 제거하기 어렵다

단점

• 암호화된 패킷은 분석 불가하다
• 스위칭 환경에서는 오히려 구축비용이 더 많이 든다 (HIDS에 비해서)

네트워크 기반 IDS는 시스템 구현이 비교적 용이하고 구축비용이 상대적으로 저렴해서 가장 널리 사용됨

 

---

호스트 기반 IDS

• 호스트 시스템으로부터 생섯ㅇ되고 수집된 감사 자료를 침입 탐지에 사용하는 시스템
• 여러 호스트로부터 수집된 감사자료를 이용할 때는 다중 호스트 기반이라고 함

장점

• 정확한 탐지가 가능, 다양한 대응책을 수행 가능
• 암호화 및 스위칭 환경에 적합
• 추가적인 H/W가 필요x

단점

• 각각의 시스템마다 설치해야해서 다양한 OS를 지원해야 함
• IDS인해 시스템에 추가적인 부하가 걸릴 수 있음
• 구현이 용이x

H-IDS가 가지는 여러 자기 장점에도 불구하고 단점, 특히 구현의 어려움으로 인해 
상용 및 공개용 IDS 시스템에서는 호스트 기반 방식을 찾기 힘들다

 

분류형태	특징	장점	단점
호스트 기반 Host	서버에 직접 설치되므로 네트워크 환경과는 무관	1. 기록되는 다양한 로그자료를 통해 정확한 침입방지 가능 2. 트로이 목마, 백도어, 내부자에 의한 공격 탐지/차단 가능	1. 해커에 의한 로그 자료의 변조 가능성 존재 및 DoS공격으로 IDS 무력화 가능 2. 호스트 성능에 의존적, 리소스 사용으로 서버 부하 발생
네트워크 기반 Network	네트워크 세그먼트당 하나의 감지기만 설치하면 되어 설치에 용이	1. 네트워크에서 실행되어 개별 서버의 성능 저하가 없음 2. 해커의 IDS공격에 대한 방어가 가능하고 존재 사실도 숨길 수 있음	1. 네트워크 패킷이 암호화되어 전송될 때 침입 탐지 불가능 2. 네트워크 트래픽이 많이 증가함에 따라 성능 문제 야기  3. 오탐률이 높음

 

 

False Positive VS False Negative

• False Positive (오탐지): 공격이 아닌데 공격으로 판단
  IDS가 정상적인 활동을 잘못된 공격으로 판단하는 경우이다.
  예를 들어, 정상적인 사용자가 네트워크에서 활동하고 있음에도 불구하고 IDS가 이를 공격으로 인식하고 경고를 보내는 상황이다. 이 경우 보안 담당자는 불필요한 대응을 하게 된다 
  
  
• False Negative (미탐지): 공격인데 공격이 아닌 것으로 판단
  IDS가 실제 공격을 놓치는 경우입니다. 즉, 공격이 일어났지만 IDS가 이를 감지하지 못하고 정상 활동으로 판단하는 상황입니다. 이는 매우 위험한 상태로, 보안 위협이 탐지되지 않아 피해가 발생할 수 있다​

둘 다 오류이고, 의도대로 탐지되는 것이 아니기 때문에 어느 하나가 좋다거나 나쁘다고 할 수 없다