IDS
2006년 하반기
Ⅰ. 침입탐지시스템(IDS)의 개요 가. 침입탐지시스템(IDS)의 정의
- Intrusion Detect System
- 각종 침입 행위들을 자동으로 탐지, 대응, 보고하는 보안 시스템으로 은행의 감시카메라(CCTV)와 같은 기능을 수행
- 내부 네트웍의 모든 행동들을 감시 및 기록, 이상 상황의 발생시 즉시 이를 파악하고 불법 행동을 일으킨 Packet을 차단 내부 시스템의 완벽한 보안을 실현
나. IDS 구성도
침입탐지시스템 Firewall
Router 내부Network 및 Server군
Internet
Hub 탐지부 대응부
네트워크
탐지 대응
지시
Ⅱ. 침입탐지시스템의 기능
가. 외부의 침입을 실시간으로 탐지하는 침입탐지 기능
나. 실재 침입 발생시 침입자에 대한 실시간 대응 및 리포팅 기능
다. 네트워크 및 시스템의 침입에 대해 사후 보안감사 및 보안대책을 스스로 마련하는 기능
Ⅲ. 침입탐지시스템의 종류 가. 탐지방법 중심의 분류
1) 정상적 상태 탐지모델 (Behavior · Statistical Rule-Based)
- 감시되는 정보시스템의 일반적인 행위들에 대한 프로파일을 생성하고 이로부터 벗어나는 행위를 분석하는 기법(과도한 대응이 될 수 있음)
Audit data system profile compromised state
통계적 차이 Update profile
Generated new profile Dynamically
· 통계적인 자료에 근거 : 통계적으로 처리된 과거의 경험자료를 바탕으로 특별한 행위 또는 유사사건으로 부터의 이탈을 방지
· 특징 추출에 의존 : 경험적인 침입탐지 측정도구와 침입의 예측 및 분류 가능한 침입탐지 도구의 집합으로 구성된 침입탐지 방법
· 예측가능한 패턴의 생성 : 이벤트간의 상호관계와 순서를 설명하고 각각의
이벤트에 시간을 부여하여 기존에 설정된 침입시나리오와 비교하여 침입을 탐지하는 방법
- 과거의 침입행위들로 부터 얻어진 지식으로 부터 이와 유사하거나 동일한 행위를 분석하는 기법(오용 기준의 지속적인 업데이트가 필요함)
- 방법이 간단하고 효율적이어서 상용제품에 널리 이용되지만 조금만 변형된 공격에도 Signature가 달라 침입을 탐지 하지 못하는 경우가 있음
Audit data system profile compromised state
Rule match?
Modify existing rule
Add new rule Timing information
· 조건부 확률 이용 : 특정 이벤트가 침입일 확률을 조건부 확률을 이용하여 계산하는 방법
· 전문가 시스템 : 축약감사 사건과 일치하는 사건을 명시하며, 공격패턴을 탐지하고 이미 설정된 규칙에 따라 처리하는 방법
· 상태전이 분석 : 공격패턴을 상태전이의 순서로 표현하며 초기의 상태에서
최종상태로의 전이 과정 즉 침입과정을 규칙기반으로 탐지하는 방법
· 키스트로크 관찰 방법 : 사용자의 키스트로크를 감시하여 공격 패턴을 나타내는 특정 키 스트로크 순서를 패턴화 하여 침입을 탐지
· 모델에 근거한 방법 : 공격패턴을 DB화 하고 특정공격 패턴에 대해 DB를 참조하여 침입여부를 탐지
나. 탐지영역 중심의 분류 - 호스트기반의 침입탐지
· 개별호스트의 O/S가 제공하는 보안감사 로그, 시스템 로그, 사용자계정 등의 정보를 이용해서 호스트에 대한 공격을 탐지
· 각 호스트에 상주하는 Agent와 이들을 관리하는 Agent Manager로 구성
· 중요한 시스템파일이나 실행코드에 대한 무결성 검사 기능이나 시스템의 취약점들을 탐지해 주는 취약성스케너(Vulnerability Scanner) 등과 결합되어 사용
· 특정 시스템의 O/S와 밀접히 결합되어 각종 행위를 분석하므로 정교한 모니터링과 로깅이 가능
· IDS문제 발생시 해당 호스트에 영향을 미치며 IDS로 인해 시스템에 부하를 크게 함 - 네트워크기반의 침입탐지 : 탐지율 30% 이하
· 네트워크기반의 공격을 탐지하여 네트워크 기반구조를 보호하는 것을 목적으로 함
· 호스트기반의 IDS처럼 호스트에 대한 공격을 탐지하거나 상세한 기록을 남길 수는 없으며 네트워크가 분할되어 있는 경우 제 기능을 발휘하지 못하거나 적용범위가 제한되어 실용성이 없는 경우도 있음
· NIC를 통해 패킷을 수집하여 수동적인 분석을 하므로 기존네트워크에 영향을 주지 않고 설치가 용이함
Ⅳ. 침입탐지시스템의 단점
가. 다수의 패킷들을 이용하는 세션 기반 탐지 불가 나. 알려지지 않은 공격 패턴 분석 및 탐지 불가
다. 네트워크 IDS는 실시간으로 공격을 막을 수 없음
Ⅴ. 침입탐지시스템의 발전방향
가. 전자상거래, 기업내부, IDC, 공공기관 등의 응용분야 확대 나. 대규모의 네트워크 환경에 적합한 제품의 개발이 요구됨
다. 간편한 관리기능과 함께 모니터링시 네트워크 부하 경감방안이 요구됨