IDS
태그 :
- 개념
- IDS 정의 - 침입을 목적으로 특정 시스템에 불법적으로 접속하여 시스템을 사용, 오용, 남용하는 것을 감지하고, 문제를 처리하는 시스템 - 각종 침입 행위들을 자동으로 탐지, 대응, 보고하는 보안 시스템 - 내부 네트워크의 모든 행동들을 감시 및 기록, 이상 상황의 발생 시 이를 파악하고 불법 행동을 일으킨 Packet을 차단하는 시스템 - 시스템의 비정상적인 사용, 오용, 남용 등을 탐지하여 알려주는 시스템
- IDS (Intrusion Detect System) 개요
가. IDS의 정의
- 시스템의 비정상적인 사용, 오용, 남용 등을 탐지하여 알려주는 시스템
- 내부 네트워크의 모든 행동들을 감시 및 기록, 이상 상황의 발생 시 이를 파악하고 불법 행동을 일으킨 Packet을 차단하는 시스템
- 각종 침입 행위들을 자동으로 탐지, 대응, 보고하는 보안 시스템
- 침입을 목적으로 특정 시스템에 불법적으로 접속하여 시스템을 사용, 오용, 남용하는 것을 감지하고, 문제를 처리하는 시스템
나. IDS의 기능
- 실시간 침입 탐지 기능
- 통계적 분석 및 Reporting
- 새로운 침입 패턴 생성
- 사후 보안 감사 및 보안 대책 마련
II. IDS 분류
가. 침입탐지 모델 기반에 따른 분류
종류 |
내용 |
오용(Misuse)탐지 |
- 과거의 침입 행위들로부터 얻어진 지식으로부터 이와 유사하거나 동일한 행위를 분석하는 기법 · 조건부 확률 이용 : 특정 이벤트가 침입일 확률을 조건부 확률을 이용하여 계산하는 방법 · 전문가 시스템 : 축약 감사 사건과 일치하는 사건을 명시하며, 공격패턴을 탐지하고 이미 설정된 규칙에 따라 처리하는 방법 · 상태전이 분석 : 공격패턴을 상태전이의 순서로 표현하며 초기의 상태에서 최종상태로의 전이과정 즉 침입과정을 규칙기반으로 탐 지하는 방법 · 키스트로크 관찰방법 : 사용자의 키스트로크를 감시하여 공격 패턴을 나타내는 특정 키스트로크 순서를 패턴화하여 침입을 탐지 · 모델에 근거한 방법 : 공격패턴을 DB화 하고 특정 공격 패턴에 대해 DB를 참조하여 침입여부를 탐지 |
비정상(Anomaly)탐지 |
- 감시되는 정보시스템의 일반적인 행위들에 대한 프로파일을 생성하고 이로부터 벗어나는 행위를 분석하는 기법 · 통계적인 자료에 근거 : 통계적으로 처리된 과거의 경험자료를 바탕으로 특별한 행위 또는 유사사건으로부터 이탈을 방지 · 특징 추출에 의존 : 경험적인 침입탐지 측정도구와 침입의 예측 및 분류 가능한 침입탐지 도구의 집합으로 구성된 침입탐지 방법 · 예측 가능한 패턴의 생성 : 이벤트간의 상호관계와 순서를 설명 하고 각각의 이벤트에 시간을 부여하여 기존에 설정된 침입 시나 리오와 비교하여 침입을 탐지하는 방법 |
나. 데이터 소스 기반에 따른 분류
종류 |
내용 |
호스트 기반
|
- 개별호스트의 O/S가 제공하는 보안감사 로그, 시스템 로그, 사용자계 정 등의 정보를 이용해서 호스트에 대한 공격을 탐지 - 각 호스트에 상주하는 Agent와 이들을 관리하는 Agent Manager로 구성 - 중요한 시스템 파일이나 실행코드에 대한 무결성 검사 기능이나 시스템의 취약점들을 탐지해 주는 취약성 스케너(Vulnerrability Scanner) 등과 결합되어 사용 - 특정 시스템의 O/S와 밀접히 결합되어 각종 행위를 분석하므로 정교 한 모니터링과 로깅이 가능하지만 IDS에 문제가 발생시 해당 호스트에 영향을 미침 - 단일 호스트기반 : 하나의 시스템에서 나오는 감사자료로 침입탐지 - 멀티 호스트기반 : 감시하고자 하는 여러 시스템에 IDS를 설치하여 탐지 - 기법 : login 정보분석, syslog분석 |
네트워크기반
|
- 네트워크기반의 공격을 탐지하여 네트워크 기반 구조를 보호하는 것 을 목적으로 함 - 호스트 기반의 IDS처럼 호스트에 대한 공격을 탐지하거나 상세한 기록을 남길 수는 없으며 네트워크가 분할되어있는 경우 제기능을 발 휘하지 못하거나 적용 범위가 제한되어 실용성이 없는 경우도 있음 - NIC 를 통해 패킷을 수집하여 수동적인 분석을 하므로 기존네트워크 에 영향을 주지 않고 설치가 용이함 - 네트워크 패킷을 사용해 침입탐지 - 기법 : Packet의 Header, Data분석 |
하이브리드 형식 |
- 멀티 호스트기반과 네트워크 기반의 IDS를 함께 적용 |
III. IDS 구성요소 및 알고리즘
가. IDS 구성요소
- 패턴DB : 패턴생성기에 의해 생성된 패턴의 저장관리
- 패턴 생성기 : 침입분석자료를 통해 패턴을 생성
- 이벤트보고기 : 로그저장소의 분석결과를 해당 관리자에게 보고
- 로그저장소 : 분석된 결과의 저장
- 정보분석기 : 시스템 설정가 패턴DB 설정에 따라 정보분석
- 정보수집기 : 호스트나 네트워크로 부터 분석자료 수집
나. IDS 알고리즘
구분 |
내용 |
단순형 |
- 저수준 필터링에서 수집된 감사자료 사용 - Source Routing : 송신자가 라우터를 지정하고 IP 주소 변경 - 스머프 공격 Ping을 브로드케스트하여 공격 같은 Echo Reply를 중복해서 받는 것 확인 - Land 공격 : IP와 PORT를 바꾸어 호스트를 루트상태로 놓이게 함 |
복잡형 |
- 일정 시간 내에 연결된 요청이 임계치를 넘는 것 탐지 - N/W 검색 공격 :N/W의 취약점을 찾는 것 탐지 - SYN Flooding 공격 :SYN신호만 보내고 ACK를 보내지 않는 것 탐지 |
지능형 |
- 시스템에 접속하는 모든 Telnet, 로그정보 비교로 탐지 - Buffer Overflow : 매개변수를 프로그램 수행 시 검사하여 탐지 - Rule Base에 정의된 공격 Backdoor를 만든 침입자의 로깅정보를 분석하여 정의된 공격의 유형 탐지 |
다. IDS시스템의 유형
구분 |
설명 |
호스트 기반 (HIDS) |
- 각 호스트에 IDS모듈이 설치되어 시스템의 오남용 및 불법적 접근을 탐지하고 이를 관리자에게 통보 - 시스템레벨에서 위협 및 공격탐지율이 우수하여 신뢰성이 높음 - 각 개별 호스트마다 설치/관리되어야 하므로 이기종 네트워크환경에서 운영/관리 편의성 저하 및 시스템 부하 가중 |
네트워크 기반 (NIDS) |
- 일반적인 IDS를 의미하는 것으로, 네트워크의 물리적 혹은 논리적 경계지점에서 동작하여 네트워크 접속 및 트래픽 분석을 통해 공격시도와 불법적 접근 탐지수행 - NIC를 통해 패킷을 수집하여 수동적인 분석을 하기 때문에 기존 네트워크에 영향을 주지 않고 설치가 편리. - 독립적으로 네트워크에서 실행되어 운영 서버의 성능 저하가 없음 |
하이브리드 IDS |
- HDIS와 NIDS의 장점만을 취합한 IDS시스템 - 복잡한 대규모 네트워크 환경에서 유용함 - 고도의 탐지 정확성이 있으며, 분석오류를 최소화할 수 있음 |
나. HIDS와 NIDS의 장단점 비교
|
HIDS |
NIDS |
장점 |
- 시스템의 각종 자원정보 파악용이. - 시스템별 정확한 탐지 및 분석수행 가능 - 시스템별 실시간 로그확인 가능 - 내부사용자 및 사용자레벨에서 공격시도 탐지 가능 |
- 네트워크기반 공격패턴탐지가능 - 전체 네트워크 트래픽 모니터링 및 사용현황정보 제공 가능 - 운영체제 독립성이 보장되므로 비용 절감 |
단점 |
- 각 호스트 및 운영체제별 에이전트가 필요하므로 설치/배포/관리 불편 - 패킷 헤더 분석기능이 미약하여 모든종류의 공격탐지 불가 -공격자의 시스템 침입 시 IDS로그정보시삭제 가능 - 서버부하가중 및 비용증가 |
- - 네트워크 성능저하 및 병목현상발생 가능 - - 시스템레벨의 해킹 및 파일변조공격은 탐지가 어려움 - - NIDS를 경유하지 않은 경우 탐지불가능 및 탐지효율이 작음 |
라. IDS 성능평가 방법
구분 |
IBM Zurich |
MIT Lab. |
평가 항목 |
침입탐지율, 침입오판율
|
침입탐지율, 침입오판율 CPU사용량, 메모리 사용량 침입탐지시간 |
침입실험도구 |
Session Generation Tool Test Suite, Recording Live Data Script(Expect) |
Tcpdump Data BSM Data
|
평가 방법 |
Recording Attack, On-line 평가 |
On-line 평가, Real-Time 평가 |
대상 IDS |
Misuse, Anomaly |
Misuse, Anomaly |
IV. IDS 와 방화벽 비교
구분 |
방화벽 |
IDS |
목적 |
접근통제 및 인가 |
실시간 탐지, 분석, 대응 |
인증 |
다수의 제품 K4 |
K1~K7 인증 진행 중 |
장점 |
- 엄격한 Access Control - 인가된 트래픽만 허용 - 보안정책 적용 가능 |
- 실시간 침입탐지 - 통계적 분석 및 리포팅 - 사후분석 대응기술 |
단점 |
- 내부자 공격에 취약 - 바이러스 침투나 암호화된 해킹 프로그램 차단 불가 |
- 변형된 침입탐지패턴에 취약 - 트래픽 양이 떨어지는 경우 탐지율 저하 |