IDS

개념
IDS 정의 - 침입을 목적으로 특정 시스템에 불법적으로 접속하여 시스템을 사용, 오용, 남용하는 것을 감지하고, 문제를 처리하는 시스템 - 각종 침입 행위들을 자동으로 탐지, 대응, 보고하는 보안 시스템 - 내부 네트워크의 모든 행동들을 감시 및 기록, 이상 상황의 발생 시 이를 파악하고 불법 행동을 일으킨 Packet을 차단하는 시스템 - 시스템의 비정상적인 사용, 오용, 남용 등을 탐지하여 알려주는 시스템

  1.  IDS (Intrusion Detect System) 개요

가. IDS의 정의

  1. 시스템의 비정상적인 사용, 오용, 남용 등을 탐지하여 알려주는 시스템
  2. 내부 네트워크의 모든 행동들을 감시 및 기록, 이상 상황의 발생 시 이를 파악하고 불법 행동을 일으킨 Packet을 차단하는 시스템
  3. 각종 침입 행위들을 자동으로 탐지, 대응, 보고하는 보안 시스템
  4. 침입을 목적으로 특정 시스템에 불법적으로 접속하여 시스템을 사용, 오용, 남용하는 것을 감지하고, 문제를 처리하는 시스템

나. IDS의 기능

  1. 실시간 침입 탐지 기능
  2. 통계적 분석 및 Reporting
  3. 새로운 침입 패턴 생성
  4. 사후 보안 감사 및 보안 대책 마련

 

II. IDS 분류

    가. 침입탐지 모델 기반에 따른 분류

종류

내용

오용(Misuse)탐지

- 과거의 침입 행위들로부터 얻어진 지식으로부터 이와 유사하거나 동일한 행위를 분석하는 기법

· 조건부 확률 이용 : 특정 이벤트가 침입일 확률을 조건부 확률을 이용하여 계산하는 방법

· 전문가 시스템 : 축약 감사 사건과 일치하는 사건을 명시하며, 공격패턴을 탐지하고 이미 설정된 규칙에 따라 처리하는 방법

· 상태전이 분석 : 공격패턴을 상태전이의 순서로 표현하며 초기의 상태에서 최종상태로의 전이과정 즉 침입과정을 규칙기반으로 탐 지하는 방법

· 키스트로크 관찰방법 : 사용자의 키스트로크를 감시하여 공격 패턴을 나타내는 특정 키스트로크 순서를 패턴화하여 침입을 탐지

· 모델에 근거한 방법 : 공격패턴을 DB화 하고 특정 공격 패턴에 대해 DB를 참조하여 침입여부를 탐지

비정상(Anomaly)탐지

- 감시되는 정보시스템의 일반적인 행위들에 대한 프로파일을 생성하고 이로부터 벗어나는 행위를 분석하는 기법

· 통계적인 자료에 근거 : 통계적으로 처리된 과거의 경험자료를 바탕으로 특별한 행위 또는 유사사건으로부터 이탈을 방지

· 특징 추출에 의존 : 경험적인 침입탐지 측정도구와 침입의 예측 및 분류 가능한 침입탐지 도구의 집합으로 구성된 침입탐지 방법

· 예측 가능한 패턴의 생성 : 이벤트간의 상호관계와 순서를 설명 하고 각각의 이벤트에 시간을 부여하여 기존에 설정된 침입 시나 리오와 비교하여 침입을 탐지하는 방법

나. 데이터 소스 기반에 따른 분류

종류

내용

호스트 기반

 

- 개별호스트의 O/S가 제공하는 보안감사 로그, 시스템 로그, 사용자계 정 등의 정보를 이용해서 호스트에 대한 공격을 탐지

- 각 호스트에 상주하는 Agent와 이들을 관리하는 Agent Manager로 구성

- 중요한 시스템 파일이나 실행코드에 대한 무결성 검사 기능이나 시스템의 취약점들을 탐지해 주는 취약성 스케너(Vulnerrability Scanner) 등과 결합되어 사용

- 특정 시스템의 O/S와 밀접히 결합되어 각종 행위를 분석하므로 정교 한 모니터링과 로깅이 가능하지만 IDS에 문제가 발생시 해당 호스트에 영향을 미침

- 단일 호스트기반 : 하나의 시스템에서 나오는 감사자료로 침입탐지

- 멀티 호스트기반 : 감시하고자 하는 여러 시스템에 IDS를 설치하여 탐지

- 기법 : login 정보분석, syslog분석

네트워크기반

 

- 네트워크기반의 공격을 탐지하여 네트워크 기반 구조를 보호하는 것 을 목적으로 함

- 호스트 기반의 IDS처럼 호스트에 대한 공격을 탐지하거나 상세한 기록을 남길 수는 없으며 네트워크가 분할되어있는 경우 제기능을 발 휘하지 못하거나 적용 범위가 제한되어 실용성이 없는 경우도 있음

- NIC 를 통해 패킷을 수집하여 수동적인 분석을 하므로 기존네트워크 에 영향을 주지 않고 설치가 용이함

- 네트워크 패킷을 사용해 침입탐지

- 기법 : Packet의 Header, Data분석

하이브리드 형식

- 멀티 호스트기반과 네트워크 기반의 IDS를 함께 적용

                                              

      III. IDS 구성요소 및 알고리즘

가. IDS 구성요소

  1. 패턴DB : 패턴생성기에 의해 생성된 패턴의 저장관리
  2. 패턴 생성기 : 침입분석자료를 통해 패턴을 생성
  3. 이벤트보고기 : 로그저장소의 분석결과를 해당 관리자에게 보고
  4. 로그저장소 : 분석된 결과의 저장
  5. 정보분석기 : 시스템 설정가 패턴DB 설정에 따라 정보분석
  6. 정보수집기 : 호스트나 네트워크로 부터 분석자료 수집

 

나. IDS 알고리즘

구분

내용

단순형

- 저수준 필터링에서 수집된 감사자료 사용

- Source Routing : 송신자가 라우터를 지정하고 IP 주소 변경

- 스머프 공격

Ping을 브로드케스트하여 공격

같은 Echo Reply를 중복해서 받는 것 확인

- Land 공격  : IP와 PORT를 바꾸어 호스트를 루트상태로 놓이게 함

복잡형

- 일정 시간 내에 연결된 요청이 임계치를 넘는 것 탐지

- N/W 검색 공격 :N/W의 취약점을 찾는 것 탐지

- SYN Flooding 공격 :SYN신호만 보내고 ACK를 보내지 않는 것 탐지

지능형

- 시스템에 접속하는 모든 Telnet, 로그정보 비교로 탐지

- Buffer Overflow : 매개변수를 프로그램 수행 시 검사하여 탐지

- Rule Base에 정의된 공격          

Backdoor를 만든 침입자의 로깅정보를 분석하여 정의된 공격의 유형 탐지

 

 다. IDS시스템의 유형

구분

설명

호스트 기반

(HIDS)

- 각 호스트에 IDS모듈이 설치되어 시스템의 오남용 및 불법적 접근을 탐지하고 이를 관리자에게 통보

- 시스템레벨에서 위협 및 공격탐지율이 우수하여 신뢰성이 높음

- 각 개별 호스트마다 설치/관리되어야 하므로 이기종 네트워크환경에서 운영/관리 편의성 저하 및 시스템 부하 가중

네트워크 기반

(NIDS)

- 일반적인 IDS를 의미하는 것으로, 네트워크의 물리적 혹은 논리적 경계지점에서 동작하여 네트워크 접속 및 트래픽 분석을 통해 공격시도와 불법적 접근 탐지수행

- NIC를 통해 패킷을 수집하여 수동적인 분석을 하기 때문에 기존 네트워크에 영향을 주지 않고 설치가 편리.

- 독립적으로 네트워크에서 실행되어 운영 서버의 성능 저하가 없음

하이브리드 IDS

- HDIS와 NIDS의 장점만을 취합한 IDS시스템

- 복잡한 대규모 네트워크 환경에서 유용함

- 고도의 탐지 정확성이 있으며, 분석오류를 최소화할 수 있음

나. HIDS와 NIDS의 장단점 비교

 

HIDS

NIDS

장점

- 시스템의 각종 자원정보 파악용이.

- 시스템별 정확한 탐지 및 분석수행 가능

- 시스템별 실시간 로그확인 가능

- 내부사용자 및 사용자레벨에서 공격시도 탐지 가능

- 네트워크기반 공격패턴탐지가능

- 전체 네트워크 트래픽 모니터링 및 사용현황정보 제공 가능

- 운영체제 독립성이 보장되므로 비용 절감

단점

- 각 호스트 및 운영체제별 에이전트가 필요하므로 설치/배포/관리 불편

- 패킷 헤더 분석기능이 미약하여 모든종류의 공격탐지 불가

-공격자의 시스템 침입 시 IDS로그정보시삭제 가능

 - 서버부하가중 및 비용증가

- - 네트워크 성능저하 및 병목현상발생 가능

- - 시스템레벨의 해킹 및 파일변조공격은 탐지가 어려움

- - NIDS를 경유하지 않은 경우 탐지불가능 및 탐지효율이 작음

 

라. IDS 성능평가 방법

구분

IBM Zurich

MIT Lab.

평가 항목

침입탐지율, 침입오판율

 

침입탐지율, 침입오판율

CPU사용량, 메모리 사용량

침입탐지시간

침입실험도구

Session Generation Tool

Test Suite, Recording Live

Data Script(Expect)

Tcpdump Data

BSM Data

 

평가 방법

Recording Attack, On-line 평가

On-line 평가, Real-Time 평가

대상 IDS

Misuse, Anomaly

Misuse, Anomaly

 

IV. IDS 와 방화벽 비교

구분

방화벽

IDS

목적

접근통제 및 인가

실시간 탐지, 분석, 대응

인증

다수의 제품 K4

K1~K7 인증 진행 중

장점

- 엄격한 Access Control

- 인가된 트래픽만 허용

- 보안정책 적용 가능

- 실시간 침입탐지

- 통계적 분석 및 리포팅

- 사후분석 대응기술

단점

- 내부자 공격에 취약

- 바이러스 침투나 암호화된 해킹

프로그램 차단 불가

- 변형된 침입탐지패턴에 취약

- 트래픽 양이 떨어지는 경우 탐지율 저하

댓글