침입 방지/탐지 시스템(IPS와 IDS), 방화벽(Firewall) 설명

침입 방지 시스템(IPS, Intrusion Prevention System)

비인가된 사용자로부터 발생하는 자원의 무결성, 기밀성, 가용성을 저하하는 행위를 실시간 탐지 및 차단, 보통 방화벽(Firewall)과 같이 설치됨.

1. 자료의 수집

HIPS(Host Intrusion Prevention System)

운영체제에 부가적으로 설치되거나 클라이언트로 운영

NIPS(Network Intrusion Prevention System)

네트워크에서 하나의 독립된 시스템으로 운영

2. 자료의 필터링과 축약

- 자료 수집에 대한 규칙 설정

- 한 곳에 모아 효과적인 분석

- 클리핑 레벨(임계치, Clipping Level)을 설정하여 과도한 데이터 확인

3. 침입탐지(Intrusion Detection & Analysis)

- 오용 탐지와 이상탐지 기법을 이용해 침입을 탐지

- 전문가시스템, 통계적 기법 이용

침입 탐지 시스템(IDS, Intrusion Detection System)

시스템이나 네트워크를 모니터링하면서 발생한 이벤트를 분석하여 대응하고 추적한다.

- 공격자로 확인된 연결에 TCP reset 패킷을 보내 연결을 끊음

- 공격자의 IP주소나 사이트를 확인하고 라우터나 방화벽을 통해 차단

- 공격 포트를 확인하여 라우터와 방확벽 설정해 포트 차단

- 네트워크 구조 자체를 임시적으로 바꿈

분류 형태	장점	단점
호스트 기반 (Host IPS)	▶호스트 자원 사용 실태를 분석하여 침입탐지 ▶트로이목마, 백도어, 내부자에 의한 공격 탐지/차단 가능 ▶침입 성공 여부 식별 가능 ▶스위치 기반 환경에 적합	▶로그 자료의 변조 가능성 ▶호스트 성능에 의존하여 자원 사용으로 서버부하 ▶비싼 비용
네트워크 기반 (Network IPS)	▶네트워크상의 모든 트래픽 패킷 분석및 탐지 ▶개발 서버의 성능 저하 없음 ▶IDS 공격의 방어가 가능하며 존재 사실도 숨김	▶오탐률(False Positive)이 높음 ▶네트워크 패킷 암호화는 침입 탐지 불가능 ▶네트워크 트래픽 증가
오용 탐지 (Misuse Detection)	▶오탐률이 낮고 효율적임 ▶전문가 시스템의 지식DB를 이용한 IDS	▶지속적인 공격패턴 갱신 필요 ▶새로운 공격 탐지 불가능 ▶느린 속도
이상 탐지 (Anomaly Detection)	▶인공지능 알고리즘 사용 ▶새로운 공격 탐지 가능	▶오탐률이 높음 ▶어려운 임계치 설정

구분	Firewall	IDS	IPS
목적	접근통제 및 인가	침입 여부의 감지	침입 이전의 방지
특징	▶수동적 차단 ▶내부망 보호	로그, 신호 기반의 패턴 매칭	정책DB 기반의 탐지
장점	▶엄격한 접근통제 ▶인가된 트래픽 허용	▶실시간 탐지 ▶사후분석대응기술	▶실시간 대응 ▶세션 기반 탐지
단점	▶내부자 공격 취약 ▶네트워크 병목현상	변형된 패턴에는 어려운 탐지	▶오탐 현상 발생 ▶고가의 장비