[침입 탐지] IDS에 대하여

 

 

 

침입 탐지란

 - 기본적으로 단순한 침입 차단보다 침입 탐지가 더 어렵다. IPS는 IDS의 기능들을 물려받은 것이다.

 - 침입 탐지(IDS)는 호스트 기반 IDS, 네트워크 기반 IDS, 분산(하이브리드) IDS와 같은 세 가지 논리적 요소로 구성되어있다.

 - 분석 방법은 이상 탐지와 오용 탐지가 있다. 그러나 실무에서는 여러 공격 패턴에 대응하기 위해 두 가지 방법을 모두 혼용하여 사용한다.

 

 

이상 탐지

 - 오랜 기간 수집된 합법적인 사용자들의 행동 패턴 데이터를 분석한다. 이를 갖고 통계학적인 테스트를 이용해 판단하는 방식이다.

 - 정상적인 행동으로부터 수집된 데이터를 분석하여 정상적인 행동을 정의하고 정상적인 행위에서 벗어났는지를 비교하고 탐지한다.

 - 보통 통계, 지식기반, 기계 학습 등을 이용하여 정상 행위를 정의하고 탐지한다.

 

 

오용 탐지

 - 특정 행동이 침입자의 것인지 판단하기 위해 몇 가지 규칙과 공격 패턴을 정의하는 방식이다. (호스트 기반 팀입 탐지에서 추가 기술)

 

 

호스트 기반 침입 탐지의 여러 방법

 - 호스트 기반 침입 탐지 시스템(HIDS)은 취약하거나 민감한 시스템에 보안 소프트웨어의 특별한 레이어를 추가하여 이루어진다. (DB서버 및 관리 시스템)

 - 의심스러운 동작을 검출하기 위해 데이터 소스와 센서들을 이용하여 시스템 호출 추적, 감사 기록, 파일의 무결성 체크, 레지스트리 접근 등 다양한 방법으로 시스템의 활동을 감시한다. 외부와 내부 모두 감시 가능한 것이 장점.

 - 이상 탐지 기반 HIDS의 주 업무는 유닉스와 리눅스 시스템에서 수집된 데이터를 가지고 이루어진다. 감사 기록을 이용해 탐지하며, 시스템 호출 추적 기반으로 탐지한다.

 - 오용 탐지 또는 (호스트 기반)휴리스틱 탐지 방식은 주로 안티 멀웨어나 안티 바이러스 프로그램으로 많이 사용된다. 그러나 오용탐지 또는 휴리스틱 규칙에 부합되지 않는 제로데이 공격을 탐지할 수는 없다. (패턴이 만들어지기 전이기 때문에)

 - 분산 호스트 기반 침입 탐지 : 여러 지사들이 있을 경우, 각자 IDS 시스템을 두지 않고 하나로 통합시켜 둘 수 있다. 모니터링 할 수 있는 시스템을 하나 마련해두고 각 지사들에 에이전트를 심어두어 모니터링한다. 이 경우, 기밀성과 무결성을 지키는 것이 중요하다.

 - 실무에서는 모든 호스트에 여러 형태의 에이전트를 설치하면 PC 자체의 부하 문제와 내부 호스트끼리의 통신 문제 때문에 네트워크 형식의 IDS를 선호한다.

 

 

네트워크 기반 침입 탐지

 - 네트워크 센서의 종류로는 TCP 통신의 중앙에 위치하여 지나가는 패킷들을 탐지하거나 차단하는 inline 센서와, 연결망과 통신 자체에는 영향을 주지 않고 중간의 스위치에게서 복사된 패킷을 받아 관리자에게 띄워주는 passive 센서가 있다. 보통 inline 센서 방식을 지향.

 - 센서의 위치 선정은 네트워크 상황에 따라 변화가 많다. 특히 기능, IDS인지 IPS인지에 따라서도 차이가 크다.

 - 침입 탐지 기술로는 OSI 계층의 프로토콜들을 감사하여 문제가 있으면 차단한다.

 - 이상 탐지 기술로는 서비스 거부 공격, 스캐닝, 웜 등을 탐지할 수 있다.