logo

TechCodeview

침입탐지시스템(IDS)

IDS(침입 감지 시스템)는 네트워크 트래픽을 유지 관리하여 비정상적인 활동을 찾아보고 이러한 활동이 발생하면 경고를 보냅니다. 침입 탐지 시스템(IDS)의 주요 임무는 이상 탐지 및 보고입니다. 그러나 특정 침입 탐지 시스템은 악의적인 활동이나 비정상적인 트래픽이 발견되면 조치를 취할 수 있습니다. 이 기사에서는 침입 탐지 시스템에 대한 모든 사항을 논의합니다.

침입 탐지 시스템이란 무엇입니까?

침입탐지시스템(IDS)이라는 시스템이 네트워크 트래픽에서 악의적인 거래를 관찰하고, 관찰되면 즉시 경고를 보냅니다. 악의적인 활동이나 정책 위반이 있는지 네트워크나 시스템을 검사하는 소프트웨어입니다. 각각의 불법 활동이나 위반은 종종 SIEM 시스템을 사용하여 중앙에서 기록되거나 행정부에 통보됩니다. IDS는 네트워크나 시스템에서 악의적인 활동을 모니터링하고 내부자를 포함한 사용자의 무단 액세스로부터 컴퓨터 네트워크를 보호합니다. 침입 탐지기 학습 작업은 '나쁜 연결'(침입/공격)과 '좋은(정상) 연결'을 구별할 수 있는 예측 모델(예: 분류자)을 구축하는 것입니다.



침입탐지시스템(IDS) 작업

  • IDS(침입탐지시스템) 모니터 교통 상황 컴퓨터 네트워크 의심스러운 활동을 감지합니다.
  • 네트워크를 통해 흐르는 데이터를 분석하여 비정상적인 동작의 패턴과 징후를 찾습니다.
  • IDS는 네트워크 활동을 사전 정의된 규칙 및 패턴 세트와 비교하여 공격이나 침입을 나타낼 수 있는 모든 활동을 식별합니다.
  • IDS가 이러한 규칙이나 패턴 중 하나와 일치하는 것을 감지하면 시스템 관리자에게 경고를 보냅니다.
  • 그런 다음 시스템 관리자는 경고를 조사하고 손상이나 추가 침입을 방지하기 위한 조치를 취할 수 있습니다.

침입탐지시스템(IDS)의 분류

침입탐지시스템은 5가지 유형으로 분류됩니다.

  • 네트워크 침입 탐지 시스템(NIDS): NIDS(네트워크 침입 탐지 시스템)는 네트워크 내 모든 장치의 트래픽을 검사하기 위해 네트워크 내의 계획된 지점에 설정됩니다. 전체 서브넷에서 전달되는 트래픽을 관찰하고 서브넷에서 전달되는 트래픽을 알려진 공격 모음과 일치시킵니다. 공격이 식별되거나 비정상적인 동작이 관찰되면 관리자에게 경고가 전송될 수 있습니다. NIDS의 예는 NIDS를 서브넷에 설치하는 것입니다. 방화벽 누군가가 크랙을 시도하는지 확인하기 위해 위치를 확인합니다. 방화벽 .
  • 호스트 침입 탐지 시스템(HIDS): 호스트 침입 탐지 시스템(HIDS)은 네트워크의 독립적인 호스트 또는 장치에서 실행됩니다. HIDS는 장치에서 들어오고 나가는 패킷만 모니터링하고 의심스럽거나 악의적인 활동이 감지되면 관리자에게 경고합니다. 기존 시스템 파일의 스냅샷을 찍어 이전 스냅샷과 비교합니다. 분석 시스템 파일이 편집되거나 삭제된 경우 조사를 위해 관리자에게 경고가 전송됩니다. HIDS 사용의 예는 레이아웃을 변경할 것으로 예상되지 않는 미션 크리티컬 시스템에서 볼 수 있습니다.
침입탐지시스템(IDS)

침입탐지시스템(IDS)

  • 프로토콜 기반 침입 탐지 시스템(PIDS): 프로토콜 기반 침입 탐지 시스템(PIDS)은 서버의 프런트 엔드에 지속적으로 상주하여 사용자/장치와 서버 간의 프로토콜을 제어하고 해석하는 시스템 또는 에이전트로 구성됩니다. 정기적으로 모니터링하여 웹 서버를 보호하려고 합니다. HTTPS 프로토콜 스트리밍 및 관련 수락 HTTP 프로토콜 . HTTPS는 암호화되지 않고 웹 프리젠테이션 레이어에 즉시 들어가기 전에 이 시스템은 HTTPS를 사용하는 사이에 이 인터페이스에 상주해야 합니다.
  • 애플리케이션 프로토콜 기반 침입 탐지 시스템(APIDS): 지원서 프로토콜 기반 침입탐지 시스템 (APIDS)는 일반적으로 서버 그룹 내에 상주하는 시스템 또는 에이전트입니다. 이는 애플리케이션별 프로토콜에 대한 통신을 모니터링하고 해석하여 침입을 식별합니다. 예를 들어, 이는 웹 서버의 데이터베이스와 트랜잭션할 때 미들웨어에 대한 SQL 프로토콜을 명시적으로 모니터링합니다.
  • 하이브리드 침입 탐지 시스템: 하이브리드 침입탐지 시스템은 침입탐지 시스템에 대한 두 가지 이상의 접근방식을 조합하여 만들어진다. 하이브리드 침입 탐지 시스템에서는 호스트 에이전트 또는 시스템 데이터가 네트워크 정보와 결합되어 네트워크 시스템에 대한 전체 보기를 개발합니다. 하이브리드 침입탐지 시스템은 다른 침입탐지 시스템에 비해 더 효과적이다. Prelude는 하이브리드 IDS의 한 예입니다.

침입탐지시스템 회피기법

  • 분열: 패킷을 프래그먼트(fragment)라고 하는 더 작은 패킷으로 나누는 과정을 다음과 같이 부릅니다. 분열 . 이렇게 하면 악성코드 서명이 없기 때문에 침입을 식별하는 것이 불가능합니다.
  • 패킷 인코딩: Base64 또는 16진수와 같은 방법을 사용하여 패킷을 인코딩하면 서명 기반 IDS에서 악성 콘텐츠를 숨길 수 있습니다.
  • 트래픽 난독화: 메시지를 해석하기 더 복잡하게 만들어 난독화를 활용하여 공격을 숨기고 탐지를 피할 수 있습니다.
  • 암호화: 데이터 무결성, 기밀성, 데이터 개인정보 보호 등 다양한 보안 기능이 제공됩니다. 암호화 . 안타깝게도 맬웨어 개발자는 공격을 숨기고 탐지를 피하기 위해 보안 기능을 사용합니다.

IDS의 이점

  • 악의적인 활동을 탐지합니다. IDS는 의심스러운 활동을 감지하고 심각한 피해가 발생하기 전에 시스템 관리자에게 경고할 수 있습니다.
  • 네트워크 성능 향상: IDS는 네트워크의 모든 성능 문제를 식별할 수 있으며 이를 해결하여 네트워크 성능을 향상시킬 수 있습니다.
  • 규정 준수 요구 사항: IDS는 네트워크 활동을 모니터링하고 보고서를 생성하여 규정 준수 요구 사항을 충족하는 데 도움을 줄 수 있습니다.
  • 통찰력을 제공합니다: IDS는 네트워크 트래픽에 대한 귀중한 통찰력을 생성하여 약점을 식별하고 네트워크 보안을 향상시키는 데 사용할 수 있습니다.

IDS 탐지 방법

  • 서명 기반 방법: 시그니처 기반 IDS는 네트워크 트래픽의 바이트 수, 1의 수, 0의 수 등 특정 패턴을 기반으로 공격을 탐지합니다. 또한 악성코드가 사용하는 이미 알려진 악성 명령 시퀀스를 기반으로 탐지합니다. IDS에서 감지된 패턴을 서명이라고 합니다. 시그니처 기반 IDS는 시스템에 이미 패턴(시그니처)이 존재하는 공격을 쉽게 탐지할 수 있지만, 새로운 악성코드 공격은 패턴(시그니처)을 알 수 없기 때문에 탐지하기가 상당히 어렵습니다.
  • 이상 기반 방법: 새로운 악성코드가 빠르게 개발됨에 따라 알려지지 않은 악성코드 공격을 탐지하기 위해 변칙 기반 IDS가 도입되었습니다. 이상 기반 IDS에서는 신뢰할 수 있는 활동 모델을 생성하기 위해 기계 학습을 사용하고 앞으로 나오는 모든 항목을 해당 모델과 비교하여 모델에서 발견되지 않으면 의심스러운 것으로 선언합니다. 머신러닝 기반 방법은 애플리케이션 및 하드웨어 구성에 따라 모델을 학습할 수 있기 때문에 시그니처 기반 IDS에 비해 더 일반화된 속성을 가지고 있습니다.

IDS와 방화벽 비교

IDS와 방화벽은 모두 네트워크 보안과 관련되어 있지만 IDS는 IDS와 다릅니다. 방화벽 방화벽은 침입이 발생하는 것을 막기 위해 외부에서 침입을 찾습니다. 방화벽은 침입을 방지하기 위해 네트워크 간의 액세스를 제한하며 공격이 네트워크 내부에서 발생하는 경우 신호를 보내지 않습니다. IDS는 의심되는 침입이 발생하면 이에 대해 설명하고 경보 신호를 보냅니다.



IDS 배치

  • IDS를 배치하는 가장 최적이고 일반적인 위치는 방화벽 뒤입니다. 이 위치는 네트워크를 고려하면 다양합니다. '방화벽 뒤' 배치를 통해 IDS는 들어오는 네트워크 트래픽에 대한 높은 가시성을 확보할 수 있으며 사용자와 네트워크 간의 트래픽을 수신하지 않습니다. 네트워크 지점의 가장자리는 네트워크가 엑스트라넷에 연결할 수 있는 가능성을 제공합니다.
  • IDS가 네트워크 방화벽 외부에 위치하는 경우 인터넷의 노이즈로부터 방어하거나 포트 스캔 및 네트워크 매퍼와 같은 공격을 방어하기 위한 것입니다. 이 위치에 있는 IDS는 네트워크의 레이어 4~7을 모니터링합니다. OSI 모델 서명 기반 탐지 방법을 사용합니다. 방화벽을 통과한 실제 침해 대신 침해 시도 횟수를 표시하는 것이 오탐의 양을 줄이므로 더 좋습니다. 또한 네트워크에 대한 성공적인 공격을 발견하는 데 시간이 덜 걸립니다.
  • 방화벽과 통합된 고급 IDS를 사용하여 네트워크에 진입하는 복잡한 공격을 차단할 수 있습니다. 고급 IDS의 기능에는 라우팅 수준 및 브리징 모드의 다중 보안 컨텍스트가 포함됩니다. 이 모든 것이 잠재적으로 비용과 운영 복잡성을 줄여줍니다.
  • IDS 배치를 위한 또 다른 선택은 네트워크 내에 있습니다. 이 선택을 통해 네트워크 내 공격이나 의심스러운 활동이 드러납니다. 네트워크 내부의 보안을 인정하지 않으면 사용자가 보안 위험을 초래하거나 시스템에 침입한 공격자가 자유롭게 돌아다닐 수 있으므로 해로울 수 있습니다.

결론

침입 감지 시스템(IDS)은 기업이 네트워크에 대한 무단 액세스를 감지하고 방지하는 데 도움을 주는 강력한 도구입니다. IDS는 네트워크 트래픽 패턴을 분석하여 의심스러운 활동을 식별하고 시스템 관리자에게 경고할 수 있습니다. IDS는 모든 조직의 보안 인프라에 귀중한 추가 기능을 제공하여 통찰력을 제공하고 네트워크 성능을 향상시킬 수 있습니다.

침입탐지시스템에 대해 자주 묻는 질문(FAQ)

IDS와 IPS의 차이점은 무엇입니까?

IDS가 침입을 감지하면 네트워크 관리에게만 경고합니다. 침입방지시스템(IPS) 악성 패킷이 목적지에 도달하기 전에 차단합니다.

IDS 구현의 주요 과제는 무엇입니까?

거짓 긍정과 거짓 부정은 IDS의 주요 단점입니다. 거짓 긍정은 침입 탐지 시스템(IDS)의 효율성을 심각하게 손상시킬 수 있는 노이즈를 추가하는 반면 거짓 부정은 IDS가 침입을 놓치고 이를 유효한 것으로 간주할 때 발생합니다.

IDS는 내부자 위협을 탐지할 수 있나요?

예 침입 탐지 시스템은 위협을 탐지할 수 있습니다.

IDS에서 머신러닝의 역할은 무엇인가요?

사용하여 기계 학습 , 높은 탐지율과 낮은 오경보율을 달성할 수 있습니다.