[컴퓨터 보안] 침입 탐지 시스템(IDS, HIDS, NIDS, 분산IDS) 정리

침입 탐지 시스템(IDS, HIDS, NIDS, 분산IDS) 정리

침입 탐지 시스템(IDS)

1. 침입 탐지 시스템(Intrusion Detection System)이란?

시스템 이벤트를 24시간 감시와 분석을 통해 시스템에 불법적인 접근이 있다면 실시간으로 관리자에게 알려주는 서비스. 

2. 침입 탐지 시스템(IDS)는 3가지로 이뤄져 있다.

센서(sensor) : 센서는 자료 수집에 사용. 네트워크 패킷, 로그, 시스템 호출 등 정보를 수집 하여 Analyzers에 전송.

분석기(Analyzers) : 하나 이상의 센서나 다른 Analyzer로부터 입력 데이터를 수집. 침입이라고 판단되면 알려준다.

UI(User Interface) : IDS의 인터페이스를 사용해서 ID출력 내용을 보거나 시스템을 조절 가능.

3. 침입 탐지 시스템(IDS)는 3가지의 논리적 요소로 구성.

- 호스트 기반 침입 탐지 시스템(HIDS) : 하나의 호스트의 특성과 그 안에서 발생하는 이벤트들을 감시 및 탐지

- 네트워크 기반 침입 탐지 시스템(NIDS) : 네트워크 특정 세그먼트에서 관찰되는 네트워크 트래픽을 감시하고 네트워크, 전송, 응용 프로토콜 분석 및 탐지

- 분산(하이브리드) IDS : 센서, 호스트, 네트워크 기반 IDS로부터 오는 정보들을 모두 합쳐 침입을 분석.

4. 분석 방법

침입자를 탐지하기 위해서 2가지 방법을 사용한다.

1. 이상 탐지 : 장기간 수집한 침입자가 아닌 일반 사용자들의 행동 패턴 데이터를 수집한다. 데이터를 기반으로 관찰된 행동이 합법적인 사용자의 행동이라고 판단이라고 생각 할 수 있도록 통계학적인 테스트를 통해 판단한다.

2. 오용 탐지 : 이상 탐지가 정상적인 행동을 탐지 한다면 오용 탐지는 적절한 행동을 정의 한다. 즉 침입자를 판단하기 위해 규칙과 공격 패턴을 정의한다.

자, 이상탐지는 정상적인 행동을 탐지 한다고 했다. 하지만 산업스파이가 최고 관리자라면 최고 권한으로 접근 했을 때 침입 탐지를 방지 할 수 가 없다. 따라서 이상 탐지와 오용 탐지 2개를 섞어서 사용해야 한다.

호스트 기반 침입 탐지 시스템(HIDS)

취약하거나 민감한 시스템의 보안 소프트웨어에 레이어를 추가하여 이루어 진다. 예를 들어 데이터 베이스 서버 및 관리 시스템이 있다. HIDS는 의심스러운 동작을 검출 하기 위해 다양한 방법으로 활동을 감시한다. 장점으로는 시스템 외부와 내부 모두 감지를 할 수 가 있다.

네트워크 기반 침입 탐지 시스템(NIDS)

각각 네트워크의 연결 부위에서 트래픽을 감시한다. 실시간에 가까운 속도로 각각 패킷을 분석하여 침입 패턴을 찾아낸다. 네트워크, 전송, 응용 계층의 프로토콜 침입 패턴도 분석 할 수 있다. HIDS와 차이점은 HIDS는 하나의 호스트에서 사용자나 소프트웨어를 분석하는 반면 NIDS는 네트워크에 존재하는 잠재적 취약점을 가진 시스템으로 보내지는 트래픽을 분석한다.

분산(하이브리드) 기반 침입 탐지 시스템(분산IDS)

HIDS, NIDS 등 침입 탐지 시스템은 서로 중복되는 부분도 있지만 부족한 부분이 있어 서로 보완을 한다. 분산IDS는 HIDS와 NIDS를 결합한 시스템이다.

장점으로는 HIDS와 NIDS의 기능을 모두 사용 가능 하므로 통합 관리가 가능하다.