IDS_침입 탐지 시스템

Intrusion Detection System(IDS)

■ Intrusion (침입)

- 시스템에 허가되지 않은 방법으로 내부 자원에 접근.

- 로그인 시도(id, pwd 추측)

- 불법적으로 데이터 도용 시도

- root / 관리자 권한 획득 시도

- 메일 / 스팸 등

- Back door 접근 시도

 

IDS에서 하는 일

■ packet을 깊게 조사

- packet filtering보다 더 깊숙히 어떤 것을 운반하는 지도 조사

■ 여러 packet들을 조사 (종합적인 판단)

ex. port scanning, network mapping, Dos attack

 

Detection 방법

1. Signature-based detection

- 침입 행위를 유형별로 패턴화 ( ex. 로그인 시도 유형 등 )

● 장점

- known attack(패턴화 시켜놓은 것)에 대해 효율적

● 단점

- unkonwn attack에 취약

- 새로운 공격 유형 발견 시마다 signature 생성

- 일반적으로 False negative rate 높음

 

2. Anomaly-based Detection

- 정상 범위를 벗어나는 사건을 탐지 ( ex. 일반 사용자가 갑자기 1000통의 메일을 발송 )

● 장점

- 머신 러닝 처리 가능, unknown attack에 효율적

● 단점

- 정상 범위 정의가 어려움

- 비정상탐지를 기다려야함

 

IDS Types

■ Network-based IDS

■ wireless IDS

■ Host-based IDS

■ Distributed Host-based IDS

 

Network-based IDS(NIDS)

■ network 망에 곳곳에 IDS를 설치하여 traffic을 모니터링, 분석하여 침입 탐지 ( ex. 음주 운전 단속 )

■ 장점

- Host의 부하가 적음 (하나의 NIDS로 여러 Host 보호)

- 조기 탐지 가능 (주변에 조짐이 보인다)

- 취약한 부분의 packet을 정밀 분석하여 다양한 침입 방지 가능

■ 단점

- 각 host 내부는 탐지 제한 -> 네트워크망을 보호하는 것이기 때문이다.

- 전체 network망에 부하가 걸림

 

Wireless IDS(WIDS)

■ 무선 통신 WLAN network망의 traffic 분석한다는 것만 NIDS에서 달라진다.

■ 장점

- 무선 통신의 취약성 위협 탐지

■ 단점

- Network 부하, 비용↑

 

Host-based IDS(HIDS)

■ 특정 Host 컴퓨터 내부를 모니터링, 분석 후 탐지 ( ex. 로그 분석, 파일시스템 기록 분석, 실행 코드 분석 등)

■ 장점

- 악성 소프트웨어 탐지가 쉬움

- 내부 공격자 탐지 가능

■ 단점

- 각 host마다 다르다. 

- host 부하

 

Distributed Host-based IDS(DHIDS)

■ 여러 HIDS들이 연계하여 전체적으로 Host들을 분석하여 탐지

■ 장점

- 효율적이고 정확성이 좋음

- 공격들의 연관 관계 파악에 용이

■ 단점

- HIDS보다 복잡하고 부담이 크다.

 

Honey Pot

■ 의도적으로 해커의 침입을 유도하는 시스템

■ 해커 정보 수집, 공격 유형 파악, 대응 전략 수집, 법정 증거 수집 등에 사용

■ 침입자 활동 감시, 로그 기록 파악 가능