침입탐지시스템 IDS

IDS (Intrusion Detection System) : 네트워크 or 호스트로의 비정상적인 접근을 탐지하는 시스템

 

 

# 긍정오류와 부정오류 

오탐(False Positive) : 정상적인 접근을 비정상적인 접근이라고 잘못 판단.

미탐(False Negative) : 비정상적인 접근을 정상적인 접근이라고 잘못 판단.

 

# 실행 4단계

1. 데이터수집
2. 데이터 가공 축약
3. 칩입 분석 및 탐지
4. 보고 및 대응 

# 탐지방법에 의한 분류

* 지식기반 침입탐지 : Knowledge-based Detection : a.k.a 오용탐지(Misuse Detection)

: 비정상 행위에 대한 패턴을 입력하여 일치하는 패턴을 탐지한다.

• 전문가 시스템(Expert System)
• 상태전이 모델
• 패턴매칭(Signature-based Detection)

장/단점

• 오탐률이 낮다.
• 새로운 패턴은 탐지 불가.
• 속도가 느리다.

* 행위기반 침입탐지 : Anomaly Detection : a.k.a 이상탐지

: 정상 행위와 비정상 행위를 프로파일링하여 통계 및 AI를 이용하여 정상/비정상을 구분한다.

• 통계적 분석 
• 예측 가능한 패턴 생성
• 신경망 모델

장/단점

• 패턴 자동 업데이트
• 새로운 패턴(ZeroDay Attack) 탐지 가능
• 오탐률이 높음
• 정상/비정상 기준 수립이 힘들다.

# 데이터 수집원에 의한 분류

# 네트워크 기반 IDS | Network-Based-IDS (N-IDS)

: IDS장비를 네트워크 앞단에 설치해 두고 네트워크에서 오가는 트래픽들을 분석

• 네트워크 전체를 몇 개의 감지기를 통해 커버하므로 비용이 저렴하다.
• 운영체재에 독립적이다.
• 흘러가는 트래픽을 수집하여 분석하므로 해커가 임으로 지우기 어렵다.
• 암호화된 트래픽은 분석이 불가능하다.
• 고속 네트워크에서는 패킷 손실이 많다.
• 호스트 내부에서 벌어지는 비정상적인 행위에 대해서는 감지가 불가능하다.

# 호스트 기반 IDS | Host-Based-IDS(H-IDS)

: 특정 호스트 시스템에서 수집된 감사자료를 분석하고 비정상 행위를 탐지

• 탐지가 정확하다.
• N-IDS와 다르게 모두 복호화된 데이터를 분석하고 패킷의 손실도 없다.
• 추가적인 장비가 필요하지 않다.
• 운영체제에 종속적이다. (리눅스 IDS면 윈도우 서버에서 사용 불가)
• 시스템에 부하가 발생한다.
• 구현이 어렵다.

# 다중 호스트 기반 IDS | Multi-Host-Based IDS

:여러 호스트 시스템을 종합적으로 분석하여 비정상 행위 

• H-IDS에 N-IDS적인 성격을 더한 IDS
• 대상 호스트 들에 Agent를 설치하고, 대상 호스트들이 속한 네트워크에 종합 분석용 서버를 둔다.
• 서버에서는 여러 호스트들에서 수집된 자료들을 종합적으로 분석한다.
• 여러 호스트를 통하여 침입이 이루어지는 것을 탐지할 수 있다.
• 다중 H-IDS와 구분하여 일반 H-IDS를 단일 호스트 기반 IDS이라고 부르기도 한다.

# 기타 

상태 추적 기능 Stateful Inspection :

• 패킷 필터링의 단점인 세션에 대한 추적 기능을 보완.
• 메모리상에 상태 추적 테이블을 만들어 단일 패킷이 아닌 뒤따르는 커넥션을 종합하여 평가한다.
• 대부분의 IDS에서 제공.

스텔스모드 침입탐지 시스템 :

• 침입자로부터 침입탐지 장비의 존재를 숨기기 위한 구성 
• 대부분의 네트워크 기반 IDS는 네트워크 인터페이스 카드에 2개 이상으로 구현되어 있음
• 이중에 네트워크에서 패킷 캡쳐하는 네트워크 인터페이스 카드에 IP주소를 가지지 않게 구성하는 것.
• IP 주소를 가지지 않으므로 침입탐지시스템 자체가 네트워크상에 노출되지 않음
• 즉, 침입탐지시스템 자체가 침입 및 공격의 대상 또는 목표가 되는 것을 방지하는 방법
• 다른 쪽 네트워크 인터페이스 카드에는 IP를 할당하여 내부망으로 연결하여 IDS를 관리