※ IDS와 IPS 무엇인가?
이름 그대로 외부의 침입을 탐지하고 차단하는 시스템이다.
보다 상세히 말하자면 사용자 및 외부 침입자가 컴퓨터 시스템, 네트워크 자원을 아무런 권한없이
탐색 혹은 사용하려면한다면 이에 대한 피해를 최소화 하는 시스템이다.
보통은 방화벽과 함께 사용이 되고있다.
IDS/IPS와 방화벽과의 차이점을 찾아본다면 방화벽은 일정한 규칙을 두고
그 규칙을 초과하는 시스템은 자체를 차단하는 것이고
IDS는 차단하는 경우는 없지만 탐색 및 탐지를 하면 사용자에게 경고 메시지를 보낸다.
IPS 같은 경우는 차단은 하지만 L7까지 볼 수 있다.
위 말로 본다면 IPS는 기능을 더 많이 갖춘 IDS라고 해석할수도있다.
구성을 어떻게 하는지, 그 기능을 사용하는지와 안하는지의 차이만 있지
IDS와 IPS는 큰 차이는 없다.
※ IDS와 IPS의 기능
① 보안 정책에 대한 검증을 제공한다.
② 외부로부터의 공격에 즉각적인 대응 및 역추적이 가능하다.
③ 기록 및 통계적인 상황을 분석한다.
④ 시스템의 작원을 보호하며 정보 유출을 방지한다.
위 기능들은 크게 말한다면 4가지로 이루어 진다.
정보수집 > 정보가공 > 침입분석 > 보고
※ 외부 침입에 대한 방법의 분류
① 오용 탐지
알려진 침입행위 자체를 탐지하는 방법.
즉, 정해진 공격 패턴과 일치한다면 침입으로 간주한다.
장점
- 잘못 탐지할 가능성이 거의 없음
- 침입에 사용된 도구 및 시스템 분석 가능
- 신속한 대응
단점
- 다방면으로 우회 가능
- 새로운 패턴은 탐지가 불가능
- 잘못 탐지를 최소화하기 위한 세밀한 정의
② 비정상행위 탐지
비정상적인 행위나 CPU의 사용 자체를 탐지하는 방법
일정한 모델을 제외한 타 모델들을 전부 침입으로 간주한다
장점
- 새로운 또는 변질되는 침입 유형에 대한 탐지가 가능하다
- 특정 침입이 아닌 정상이 아님으로 탐지한다
단점
- 정상적인 행위의 예측률이 매우 낮다.
- 잘못 탐지할 가능성이 높다
- 사용자 네트워크에 대한 방대한 학습률이 필요하다.