[컴퓨터 보안] 보안 시스템 -3
침입탐지 시스템(IDS)
- Intrusion Detection System
- 컴퓨터가 사용하는 자원의 기밀성, 무결성, 가용성을 저해하는 행위를 실시간으로 탐지하는 시스템
-
허가받지 않은 접근이나 공격 시도를 감지하여 시스템 또는 네트워크 관리자에게 통보
- 방화벽이 막을 수 없는 경우에도 공격을 탐지
- 서브넷의 시스템 해킹 시 이를 탐지
- 해킹의 구체적인 내용을 관리자에게 알려주어 그에 따른 대응을 할 수 있도록 하는 솔루션
기능
- 사용자와 시스템 행동에 대한 모니터링 및 분석
- 시스템 설정과 취약성에 대한 감사 기록
- 중요 시스템과 데이터 파일에 대한 무결성 평가
- 알려진 공격에 대한 행위 패턴 인식
- 비정상적 행위 패턴에 대한 통계적 분석 등
구성
- 모니터링부
- 정보수집단계
- 호스트나 네트워크로부터 데이터를 수집
- 수집된 데이터는 특정 패턴을 검출하기 위해 다음 단계로 넘어감
- 정보수집단계
- 분석 및 조치부
- 정보가공 및 축약 단계
- 분석에 앞서 설정에 따라 수집된 정보를 가공 및 축약
- 분석에 앞서 설정에 따라 수집된 정보를 가공 및 축약
- 분석 및 침입탐지 단계
- 기존 정보와 축약된 데이터를 기반으로 침입 여부 결정
- 기존 정보와 축약된 데이터를 기반으로 침입 여부 결정
- 보고 및 조치 단계
- 침입으로 규정된 행위가 발생할 경우 수행
- 실제적인 관리자에게 보고
- 침입으로 규정된 행위가 발생할 경우 수행
- 정보가공 및 축약 단계
- 관리부
- 모니터링부와 분석 및 조치부에 대한 통제 및 관리
- 모니터링부와 분석 및 조치부에 보안정책 제공
- 모니터링부와 분석 및 조치부에 대한 통제 및 관리
IDS의 모니터링 방법
- 응용 기반
- 애플리케이션 계층에서의 정보 수집
- DB 관리 소프트웨어, 웹서버, 방화벽 등에 생성된 로그 포함
- DB 관리 소프트웨어, 웹서버, 방화벽 등에 생성된 로그 포함
- 장점
- 시스템상의 미세한 침입행위를 탐지
- ex) 사용자에 대해 특정 응용 서비스에 대한 특징을 사용하는 것을 모니터링
- 시스템상의 미세한 침입행위를 탐지
- 단점
- 애플리케이션 계층의 취약성으로 인해 침입탐지 방법의 무결성 훼손 가능
- 애플리케이션 계층의 취약성으로 인해 침입탐지 방법의 무결성 훼손 가능
- 애플리케이션 계층에서의 정보 수집
- 호스트 기반
- 특정 시스템에서 발생하는 행위에 대한 정보 수집
- 시스템 로그, 운영체제 프로세스에 의해 생성된 로그 등 포함
- 시스템 로그, 운영체제 프로세스에 의해 생성된 로그 등 포함
- 장점
- 문제가 되는 행위를 지정된 사용자 ID에 매핑 가능
- 오용과 관련된 행동 변경을 추적 가능
- 암호화 된 환경에서 동작 가능
- 문제가 되는 행위를 지정된 사용자 ID에 매핑 가능
- 단점
- 네트워크 행위가 보이지 않음
- 운영체제의 취약성은 에이전트와 분석도구에 대한 무결성 훼손 가능
- 네트워크 행위가 보이지 않음
- 특정 시스템에서 발생하는 행위에 대한 정보 수집
- 목표 기반
- 목표 객체(데이터, 프로세스)에 대한 무결성 분석
- 공격 프로세스의 결과인 특정 파일과 시스템 객체 등을 모니터링
- 공격 프로세스의 결과인 특정 파일과 시스템 객체 등을 모니터링
- 장점
- 다른 방법으로는 할 수 없는 침입탐지 가능
- 시스템 변형 공격의 존재 유무에 대해 신뢰성 있는 탐지 가능
- 시스템 복구를 위해 대체되어야 할 파일을 결정하여 효율적으로 복구
- 다른 방법으로는 할 수 없는 침입탐지 가능
- 단점
- 하위 단말 시스템의 프로세스에 많은 부하
- 실시간 탐지 프로세스에는 부적합
- 하위 단말 시스템의 프로세스에 많은 부하
- 목표 객체(데이터, 프로세스)에 대한 무결성 분석
- 네트워크 기반
- 네트워크로부터 정보 수집
- 무차별 모드를 이용한 패킷 스니핑으로 수집
- 무차별 모드를 이용한 패킷 스니핑으로 수집
- 장점
- 감사나 로그 매커니즘을 위한 특별한 요구사항 필요 없음
- SYN flooding, 패킷 폭풍 같은 네트워크 공격을 모니터링
- 감사나 로그 매커니즘을 위한 특별한 요구사항 필요 없음
- 단점
- 호스트상에서 수행되는 세부 행위 탐지 불가
- 트래픽이 암호화되어 있으면 프로토콜이나 내용 스캔 불가
- 고속 대규모 네트워크에서는 동작되지 않음
- 호스트상에서 수행되는 세부 행위 탐지 불가
- 네트워크로부터 정보 수집
- 통합 방식
- 응용 기반, 호스트 기반, 네트워크 기반 센서들을 조합
- 장점
- 모든 레벨에서의 행위를 모니터링 가능
- 시간이나 공간의 제약 없이 모니터링하기 용이
- 사고분석과 합법적 처리(범죄고발 등) 수행에 도움
- 모든 레벨에서의 행위를 모니터링 가능
- 단점
- 구성요소 간의 상호동작성을 위한 산업표준 부재로 서로 다른 제품 간의 요소 결합이 어려움
- 통합된 시스템의 관리와 이행이 어려움
- 구성요소 간의 상호동작성을 위한 산업표준 부재로 서로 다른 제품 간의 요소 결합이 어려움
- 응용 기반, 호스트 기반, 네트워크 기반 센서들을 조합