IDS(침입탐지 시스템)

외부 침입에 대한 정보를 수집하고 분석하여 침입 활동을 탐지해 이에 대응하도록 보안 담당자에게 통보하는 기능을 수행하는 네트워크 보안시스템

장점 단점
  • 해킹에 대해 방화벽보다 적극적 방어 가능
  • 내부 사용자의 오ㆍ남용 탐지 및 방어 가능
  • 해킹사고 발생시 어느정도 근원지 추적 가능
  • 대규모 N/W에서 사용 곤란
  • 관리 및 운영 어려움
  • 새로운 침입기법에 대해 즉각적 대응 곤란
  • 보안사고의 근본적 해결책이 되지 못함
  • 실행 단계

    • 데이터 수집
      • 탐지대상(시스템 사용내역, 패킷)으로부터 생성되는 데이터 수집
    • 데이터 가공 및 축약
      • 수집된 데이터를 침입 판정이 가능하도록 의미있는 정보로 전환
    • 침입분석 및 탐지
      • 비정상적 행위 탐지 기법, 오용 탐지 기법, 하이브리드 탐지 기법
    • 보고 및 대응
      • 시스템을 침입했다고 판정된 경우 적절한 대응을 하거나 관리자에게 침입사실 보고

    지식기반 침입탐지

    • 규칙기반, 오용 침입탐지라고도 함
    • 기존의 침입방법을 DB에 저장해두었다가 사용자의 행위 패턴이 기존 침입 패턴과 일치하거나 유사한 경우 침입으로 판단
    • 새로운 공격이나 침입 방법 출현시 그에 맞는 공격패턴 생성하여 추가
    장점 단점
  • 오탐률(False Positive) 낮음
  • 전문가 시스템(추론기반 지식 베이스) 이용
  • 트로이 목마, 백도어 탐지
  • 지속적인 공격패턴 갱신 필요
  • 속도 문제 때문에 대량의 자료 분석에 부적합
  • 종류

    • 전문가 시스템
      • 침입 또는 오용의 패턴을 실시간으로 입력되는 감사정보와 비교하여 침입을 탐지
    • 상태전이 모델
      • 공격 패턴에 따라 시스템의 상태 변화를 미리 상태전이도로 표현 후 실시간으로 시스템의 상태 변화를 추적하여 침입상태를 감시
    • 패턴 매칭
      • 알려진 공격 패턴을 시나리오 형태로 DB에 저장한 후 발생하는 사건의 패턴을 비교

    행위기반 침입탐지

    • 통계적 변형, 비정상행위 침입탐지라고도 함
    • 정상적 행위에 대한 정의들과 비교해 심각한 수준의 일탈행위를 식별하는 방식
    장점 단점
  • 인공지능 알고리즘 사용으로 수작업의 패턴 업데이트 불필요
  • 오용 탐지 기법보다 DB관리가 용이
  • 트로이 목마, 백도어 탐지
  • 알려지지 않은 공격(Zero-Day Attack)도 탐지 가능
  • 침입 외 시스템 운용상 문제점도 탐지
  • 오탐률(False Positive) 높음
  • 정상/비정상 임계치 설정 어려움
  • 종류

    • 통계적 분석
      • 사용자/시스템 행위의 이전 정보를 기반으로 정상행위를 주기적으로 갱신
    • 예측가능한 패턴 생성방법
      • 기존의 정상적인 패턴과 현재 사건 간의 패턴을 비교하여 탐지
    • 신경망 모델
      • 사용자의 행위 정보를 학습하여, 입력된 사건 정보를 사용자의 행위 정보와 비교하여 탐지

    대응방법에 따른 분류

    • 능동적 대응
      • 침입에 대해 가장 빨리 실행할 수 있는 행동으로 침입에 의한 손실을 줄일 수 있게 함
      • 하지만 오경보를 많이 발생시켜 시스템의 가용성을 저하시킬 수 있음
    • 수동적 대응
      • 대량의 정보를 수집하는 형태를 취하거나 권한을 가진 사용자에게 엄격한 조치를 취할수 있도록 통보하는 형태

    데이터 수집원에 따른 분류

    NIDS(Network-based IDS)

    네트워크를 통해 전송되는 패킷 정보를 수집/분석하여 침입을 방지

    장점 단점
  • 초기 구축비용이 저렴
  • OS에게 독립적이어서 구현/관리 쉬움
  • 공격자가 흔적을 제거하기 어려움
  • 암호화된 패킷 분석 불가
  • 스위칭 환경에서 HIDS보다 비용 높음
  • 고속 네트워크 환경에서 패킷 손실이 많아 탐지율이 떨어짐
  • 호스트 상에서 수행되는 세부 행위 탐지 불가
  • HIDS(Host-based IDS)

    호스트 시스템으로부터 생성되고 수집된 감사 자료로 침입을 방지

    장점 단점
  • 정확한 탐지 가능
  • 암호화 및 스위칭 환경에 적합
  • 추가적인 H/W가 필요하지 않음
  • N-IDS, 방화벽과 달리 외부 침입자와 내부침입자 모두 발견
  • 각각의 시스템에 설치해야 하므로 다양한 OS를 지원해야 함
  • 시스템에 추가적인 부하
  • 구현이 용이하지 않음
  • 로그 변조, 공격에 의한 무력화
  • 탐지 시점에 따른 분류

    • 사후분석 시스템
      • 고전적인 IDS 방식
      • 수집된 데이터를 정해진 시간에만 분석
      • 즉시 대응 불가
    • 실시간 탐지 시스템
      • 실시간 정보수집과 동시에 감사 데이터 발생, 침입 탐지가 이루어짐
      • 대응책을 바로 실행

    IDS의 위치

    IDS는 목적에 따라 여러 곳에 설치가 가능

    • 패킷이 라우터로 들어오기 전
      • N/W에 실행되는 모든 공격을 탐지 가능
      • 모든 공격을 탐지하는 만큼 많은 패킷을 수신하므로 치명적 공격에 대처 어려움
    • 라우터 뒤
      • 라우터의 패킷 필터링을 거친 후에 들어온 패킷 검사
    • 방화벽 뒤
      • 네트워크에 직접 영향을 주므로 탐지되는 공격에 대한 정책과 방화벽과의 연동성이 가장 중요
      • 만약 NIDS를 한 대만 설치해야할 경우 여기에 설치해야 함
    • 내부 네트워크
      • 방화벽은 외부에서 들어오는 패킷을 탐지하지만 내부는 무방비
      • 내부 N/W의 해킹을 감시하고자 할 때 설치
    • DMZ
      • DMZ는 외부인터넷에 서비스를 제공하는 서버가 위치하는 N/W
      • 매우 능력이 뛰어난 외부 공격자와 내부 공격자에 의한 데이터 손실이나 서비스 중지를 막음

    IDS의 응용

    긍정오류와 부정오류

    침입자와 정상적인 사용자와의 행위 패턴이 겹치는 부분이 존재하므로 침입 탐지를 실제로 적용할 때는 절충과 기술의 요소가 적절히 사용되어야 함

    • 긍정오류: 합법적인 사용자를 침입자로 판단(침입자의 행동을 넓게 잡았을 경우)
    • 부정오류: 침입자를 합법적인 사용자로 판단(침입자의 행동을 좁게 잡았을 경우)

    허니팟

    자료를 가진 호스트인 것처럼하고 일부러 취약점을 만들어 해커를 유인하는 시스템

    장점 단점
  • 해커들의 행동이나 공격기법, 해킹목적을 분석
  • 제로데이 공격을 사전에 탐지할 수 있는 예방통제 기술
  • 잠재적 공격자에 대한 조기 경보 제공, 보안 전략의 결점 파악
  • 자신에게 오는 패킷만 수집하므로 네트워크 전반에 대한 침입정보를 분석할 수 없음
  • 공격자가 알아차릴 경우 허니팟을 우회하거나 마비시키는 공격 가능
  • 목적

    • 중요 시스템에 접근하는 공격자를 다른 방향으로 돌림
    • 공격자의 동작 정보 수집
    • 관리자가 반응할 수 있도록 공격자가 시스템에 충분히 오랜 시간 동안 머무르기를 유도

    스노트

    일종의 IDS로 다양한 공격과 스캔 탐지 가능

    • 실시간 트래픽 분석, 프로토콜 분석, 내용검색/매칭, 침입탐지 Rule에 의거하여 오버플로우, 포트스캔, CGI 공격, OS 확인 시도 등

    룰 헤더

    처리방식, 프로토콜, IP주소, 포트번호 등 처리할 패킷을 판단하는 기준 명시

    # 룰 헤더 형식
    | action | protocol | IP 주소 | port | direction | IP 주소 | port |

    action

    옵션 설명
    alert alert를 발생시키고 로그를 남긴다
    log 패킷을 로그에 남긴다
    pass 패킷을 무시한다
    active alert 발생, dynamic rule 활성화
    dynamic active rule에 의해 활성화되고 log, rule과 동일하게 동작
    drop 패킷 차단 후 로그에 남긴다
    reject 패킷을 차단하고 로그에 남긴 후 TCP일 경우 TCP Reset 전송, UDP일 경우 ICMP port unreachable 전송
    sdrop 패킷을 차단하지만 로그는 남기지 않음

    protocol

    TCP, UDP, ICMP, IP 중 선택

    IP Address

    • ,: 복수개 표현
    • !: 부정연산자
    • any: 모든주소

    Port

    • :숫자 = 숫자 포트 이하
    • 숫자: 숫자 포트 이상

    Direction

    • ->
    • <> : 출발지와 목적지를 오가는 모든 패킷

    룰 바디

    alert 메시지나 패킷 메시지를 조사하기 위한 내용 기술

    옵션 설명
    msg alert 로그 출력시 이벤트 명으로 사용
    content 패킷의 payload 내부 검색하는 문자열
    offset content로 지정한 문자열의 검색 시작 오프셋
    depth offset로부터 검사할 바이트 수 지정, 빠른 검색을 위해서는 사용을 권장
    sid 룰 식별자
    flow established : 통신이 established 된 패킷만
    stateless : 상태 상관없이, 비정상 무작위 공격 대비
    rev rule 버전번호로 수정 횟수 표기

    IPS(침입방지 시스템)

    다양한 보안기술로 침입이 일어나기 전에 실시간으로 침입을 막음

    • 트래픽을 차단하기 위한 능동형 보안 솔루션
    • 취약점을 능동적으로 사전에 보완하며 웜이나 버퍼 오버플로우, 비정상적 트래픽, 제로데이 공격까지 차단

    필요성

    • 방화벽이나 IDS만으로는 속도 때문에 해킹이나 바이러스, 웜에 대한 공격을 막기 어려움
    • 실시간 침입방지 시스템으로 OS단에서 실시간 방어와 탐지 기능 지원

    Firewall, IDS, IPS 비교

    구분 Firewall IDS IPS
    목적 접근통제 및 인가 침입여부 감지 침입 이전의 방지
    특징
  • 수동적 차단
  • 내부망 보호
  • 로그ㆍsignature 기반의 패턴 매칭
  • 정책ㆍ규칙기반 비정상 행위 탐지
  • 패킷 차단 O X O
    패킷 내용분석 X O O
    오용 방지 X O O
    오용 차단 X X O
    이상 탐지 X O O
    이상 차단 X X O
    장점
  • 엄격한 접근통제
  • 인가된 트래픽만 허용
  • 실시간 탐지
  • 사후분석 대응기술
  • 실시간 즉각 대응
  • 세션 기반 탐지 가능
  • 단점
  • 내부공격에 취약
  • 네트워크 병목현상
  • 변형 패턴에 대해서는 탐지 어려움
  • 오탐 현상 발생 가능
  • 장비 고가