이상접속차단(IDS, Intrusion Detection System)이란?

1. 이상접속차단

 

이상접속차단은 시스템에 대한 원치 않는 조작을 탐지한다. 전통적인 방화벽(Firewall)이 탐지할 수 없는 악의적인 네트워크 트래픽 및 컴퓨터 사용을 탐지하기 위해 필요하다. 이것은 취약한 서비스에 대한 네트워크 공격과 애플리케이션에서의 데이터 처리 공격(data driven attack), 그리고 권한 확대(privilege escalation) 및 로그인, 파일 접근, 악성 소프트웨어(Virus, Trojan 등)와 같은 호스트 기반 공격을 포함하며, 이상접속시스템(IDS, Intrusion Detection System)과 유사하다.

 

이상접속차단 모듈은 여러 개의 구성 요소로 이루어져 있다. 센서는 보안 이벤트를 발생시키며, 콘솔은 이벤트를 모니터하고 센서를 제어하거나 경계시키며(alert), 중앙 엔진은 센서에 의해 기록된 이벤트를 데이터베이스에 기록하거나, 시스템 규칙을 사용하여 수신된 보안 이벤트로부터 경고를 생성한다. 이상접속차단을 분류하는 방법은 센서의 종류와 위치 그리고 엔진이 경고를 만드는 데 사용하는 방법론 등에 따라 여러가지가 있다. 많은 간단한 이상접속차단들은 위의 세 가지 요소들을 하나의 장치 또는 설비로 구현하고 있다.

 

 

1.1  이상접속차단의 개념

 

 

한마디로 말하면 실시간 이상접속하여 차단하기 위한 솔루션으로 비인가된 사용자가 자원의 기밀성, 무결성, 가용성을 저해하는 일련의 행동들과 침입을 하는 행위를 실시간으로 탐지하여 차단하는 것을 말한다.

 

 1.2  이상접속차단의 필요성

 

 

1. 외부 침입자뿐만 아니라 내부 사용자의 불법적인 오남용 행위를 대처하는 방법이 필요

2. 침입차단시스템(Firewall)이 해킹 당했을 때의 피해 최소화 필요 및 방화벽의 문제점 보완

3. 새로운 해킹관련 기술에 대한 지능적인 방지 시스템 필요

 

 

1.3  이상접속차단의 구성도 및 구성요소, 주요기능

 

1.3.1 이상접속차단의 구성도

 

  

1.3.2 이상접속차단의 구성요소

 

정보수집기 : 호스트나 네트워크로부터 분석 자료 수집

정보분석기 : 시스템 설정과 패턴 DB의 설정에 따라 정보 분석

로그저장소 : 분석된 결과 저장

이벤트 보고기 : 로그 저장소의 분석 결과를 해당 관리자에게 보고

패턴 생성기 : 침입 분석 자료를 통해 패턴 생성

패턴 DB : 패턴 생성기에 의해 생성된 패턴의 저장 관리

  

1.3.3 이상접속차단의 주요기능

 

-경보기능 : 경보, 이메일 발송, SNMP(Simple Network Management Protocol) Trap 발송 등으로 통보

-세션 차단기능 : 의심스러운 행위 감지시 해당 세션을 차단

-실시간 탐지 : 시스템이나 네트워크를 실시간으로 모니터링하여 침입 탐지

-리포팅 : 통계적 분석 및 리포팅 기능

 

 

1.4  이상접속 시스템의 유형 및 방화벽과 비교

 

1.4.1 이상접속 시스템의 유형

 

 

 

1.4.2 방화벽과의 비교

 

  

1.5  네트워크 기반(NIDS)와 호스트 기반(HIDS)의 상세 설명

 

1.5.1 네트워크 기반 이상접속 시스템(NIDS)

 

네트워크 트래픽을 검사하고 여러 호스트들을 모니터하여 침입을 식별하는 독립된 플랫폼으로 포트 미러링 또는 네트워크 탭(network tap)을 위해 설정된 허브, 네트워크 스위치에 연결하여 네트워크 트래픽에 접근

 

① 장점

 

- 시스템의 각종 자원정보 파악용이

- 시스템별 정확한 탐지 및 분석수행 가능

- 시스템별 실시간 로그확인 가능

- 내부사용자 및 사용자레벨에서 공격시도 탐지 가능

 

② 단점

 

- 각 호스트 및 운영체제별 에이전트가 필요하므로 설치 / 배포 / 관리 불편

- 패킷 헤더 분석기능이 미약하여 모든종류의 공격탐지 불가

- 공격자의 시스템 침입시 IDS로그정보시삭제 / 변경 가능

- 서버 부하 가중 및 비용증가

 

 

1.5.2 호스트 기반 침입 탐지 시스템(HIDS)

 

호스트에서 시스템 콜, 애플리케이션 로그, 파일 시스템의 수정사항(이진 파일, 패스워드 파일, capability/acl 데이터베이스) 그리고 호스트의 동작과 상태등을 분석하여 침입을 식별하는 에이전트로 구성

 

① 장점

 

- 네트워크기반 공격패턴 탐지가능

- 전체 네트워크 트래픽 모니터링 및 사용현황정보 제공 가능

- 운영체제 독립성이 보장되므로 비용 절감

 

② 단점

 

- 네트워크 성능저하 및 병목현상발생 가능

- 시스템레벨의 해킹 및 파일변조공격은 탐지가 어려움

- NIDS를 경유하지 않은 경우 탐지불가능 및 탐지효율이 작음

- 암호화 패킷탐지 불가, False Positive가 높음

 

 

1.5.3 하이브리드 침입 탐지 시스템

 

네트워크 기반과 호스트 기반을 결합, 호스트 에이젼트 데이터는 네트워크의 종합적인 관점을 위해 네트워크 정보와 결합된다. 하이브리드 IDS 중 하나로 Prelude가 존재

  

1.6  IDS의 한계 및 전망

1.6.1 IDS의 한계

 

- 해킹시도 및 공격탐지 시 사전 차단과 같은 능동적 대처 능력이 떨어짐

- 해킹 및 네트워크 공격의 탐지 효율이 떨어지고 오탐율이 높음

- 알려지지 않은 새로운 형태의 공격이나 변형공격에 취약함

- 과도한 네트워크 트래픽이나 시스템 부하 가중시에 탐지 및 대응능력 저하

- IDS단독으로 다양한 보안 위협에 완벽한 보호기능 수행불가

  

1.6.2 IDS의 전망

 

- 대용량 트래픽 환경에서의 정확한 분석을 위한 기가비트 및 10기가비트 성능지원

- 알려지지 않았거나 예측 불가능한 공격에 대처 가능한 지능적 이상접속기술 적용

- 해킹과 웜/바이러스와 같은 혼합변조공격에 대한 탐지 및 방어기술 추가

- 방화벽, IPS, ESM와 같은 다양한 보안솔루션과의 연동을 통한 통합보안관리기능 제공

- DoS와 DDoS에 대한 능동적 대응기능