침입 탐지 시스템 (IDS)

ⅰ. 침입 탐지 시스템의 개념

침입 탐지 시스템은 컴퓨터/네트워크에서 발생하는 이벤트를 모니터링하고, 침입 발생 여부를 탐지하며, 대응하는 자동화된 시스템으로, 전통적인 방화벽이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및 컴퓨터 사용을 탐지한다.

ⅱ. 침입 탐지 시스템의 구성 및 기능

센서 : 보안 이벤트를 발생시킴

콘솔 : 이벤트를 모니터링하고 센서를 제어하거나 경계시킴

엔진 : 센서에 의해 기록된 이벤트를 데이터베이스에 기록하거나 시스템 규칙을 사용하여 수신된 보안 이벤트로부터 경고를 생성함

정보수집기 : 호스트나 네트워크로부터 분석 자료 수집

정보분석기 : 시스템 설정과 패턴, 데이터베이스의 설정에 따라 정보 분석

로그저장소 : 분석된 결과 저장

이벤트 보고기 : 로그 저장소의 분석 결과를 해당 관리자에게 보고

패턴 생성기 : 침입 분석 자료를 통해 패턴 생성

패턴 DB : 패턴 생성기에 의해 생성된 패턴의 저장 관리

경보 기능 : 경보, 이메일 발송, SNMP(Simple Network Management Protocol) Trap 발송 등으로 통보

세션 차단 기능 : 의심스러운 행위 감지시 해당 세션 차단

실시간 탐지 : 시스템이나 네트워크를 실시간으로 모니터링하여 침입 탐지

리포팅 : 통계적 분석 및 리포팅 기능

ⅲ. 침입 탐지 시스템의 유형

Information Source 기준 분류

호스트 기반 IDS (HIDS) : 각 호스트 내에서의 운영체제 감사자료와 시스템 로그 등을 통해 침입을 탐지하는 시스템

데이터 소스

OS 감사자료 (audit trail)

시스템 로그 (시스템에 직접 설치하여 탐지)

장점

네트워크 기반 IDS에서는 탐지 불가능한 침입 탐지 가능 (트로이 목마, Race conditon 등)

우회 가능성이 거의 없음

네트워크 기반 공격 패턴 탐지 가능

전체 네트워크 트래픽 모니터링 및 사용 현황 정보 제공 가능

추가적인 하드웨어의 구매가 필요 없기 때문에 상대적으로 저렴

고부하(High traffic) / 스위치(Switch) 네트워크에서도 사용 가능

단점

모든 개별 호스트에 대한 설치 및 관리가 어려움

IDS가 설치된 플랫폼의 성능 저하

네트워크 전체에 대한 탐색 행위를 탐지하기에 부적합

감시 대상이 되는 서버에 각각 설치해야 함

시스템 레벨의 해킹 및 파일 변조 공격은 탐지가 어려움

암호화 패킷 탐지 불가

---

네트워크 기반 IDS (NIDS) : Promiscuous로 동작하는 NIC를 통한 패킷 캡처 후, 분석을 통해 침입을 탐지하는 시스템으로, 보통 Switch에서 업 링크된 포트에 미러링을 구성하는 방식 사용

데이터 소스

네트워크 패킷

대부분의 상업용 IDS에서 적용

장점

호스트 기반 IDS에서는 탐지 불가능한 침입 탐지 가능 (포트 스캐닝)

전체 네트워크에 대한 침입 탐지 가능

기존 네트워크 환경의 변경 필요 없음

시스템의 각종 자원 정보 파악 용이

시스템별 정확한 탐지 및 분석 수행 가능

시스템별 실시간 로그 확인 가능

내부 사용자 및 사용자 레벨에서 공격 시도 탐지 가능

단점

탐지된 침입의 실제 공격 성공 여부를 알지 못함

패킷 헤더 분석 기능이 미약하여 모든 종류의 공격 탐지 불가

서버 부하 가중 및 비용 증가

암호화된 패킷 탐지 불가

고부하(High traffic)/스위치(Switch) 네트워크에는 적용 어려움

---

하이브리드 (Hybrid) 기반 IDS : 호스트 기반 IDS와 네트워크 기반 IDS가 결합한 형태

장점

호스트 기반, 네트워크 기반 IDS의 장점을 모두 갖고 있음

호스트와 네트워크의 개별 감시 및 통합 감시가 가능

복잡한 형태의 공격 판단 가능

단점

단일 호스트 기반, 네트워크 기반 등이 상호 연동할 수 있는 업계 표준이 없음

설치 및 관리가 어려움

---

Application-Based IDS

장점

사용자와 애플리케이션 간의 상호 모니터링 가능

암호화된 패킷이 호스트에서 복호화되기 때문에 암호화 패킷에 대한 모니터링 가능

단점

호스트기반 IDS보다 공격에 취약

트로이목마에 대한 탐지 불가

호스트 기반, 네트워크 기반 IDS와 혼합하여 사용하는 것이 바람직

---

IDS Analysis 기준 분류

오용 탐지 (Misuse Detection) : 정해진 공격 모델과 일치하는 경우를 침입으로 간주하며, 지식 기반 침입 탐지라고도 함

 

동작 원리

정해진 공격 모델과 일치하는 경우를 침입으로 간주(Buffer overflow)

가장 많이 사용하는 형태

 

기법 종류

Expert system

State transition analysis

Key Stroke Monitoring

Model Based Approach

장점

상대적으로 낮은 오판율 (False alarm)

침입에 사용된 특정한 도구, 기술에 대한 분석 가능

신속하고 정확한 침해 사고 대응에 도움

단점

다양한 우회 가능성 존재

새로운 침입 유형에 대한 탐지 불가능

Anti-Virus 제품과 유사

---

비정상 행위 (Anomaly Based) : 정해진 모델을 벗어나는 경우를 침입으로 간주하며, 행위 기반 침입 탐지라고도 함

 

동작 원리

정해진 모델을 벗어나는 경우를 침입으로 간주

비정상적인 행위나 컴퓨터 자원의 사용을 탐지

 

기법 종류

Statistical approach

Predictie pattern modeling

AI

Neural network

Genetic algorithm

 

특징

새로운 침입 유형에 대한 탐지 가능

특정한 침입이 아닌 “정상에서 벗어남”으로 탐지

정상 행위를 예측하기 어려움

방대한 사용자, 네트워크 활동 (training data) 필요

많은 시간 요구

높은 오판율 (false alarm)

---

Timing 기준 분류

Real-Time

장점

감지 시간에 따라 관리자가 침입 차단 가능

빠른 시스템 복구 가능

단점

비실시간 시스템보다 많은 CPU 시간과 메모리 필요

실시간 탐지를 위한 시스템 설정이 매우 중요하나 작업이 어려움

---

Interval-Based

장점

금융기관과 같이 침입 가능성은 적으나 한번의 침입이 미치는 영향이 큰 곳에 적합 (문제의 원인 분석이 중요한 환경)

실시간에 비해 시스템 자원이 덜 필요함

시스템 자원과 인적 자원이 부족한 환경에 적합

법적 대응을 위한 자료 수집에 적합

단점

배치 모드로 동작하므로 더 많은 디스크 공간 필요

Control Strategy 기준 분류

Centralized : 중앙집중식으로 IDS 설치

Partially Distributed : 부분적으로 네트워크를 분할하여 IDS 설치

Fully Distributed : 다수의 IDS를 설치하여 개별 IDS의 처리 부하를 감소시킴

---

Response Option 기준 분류

수동적 대응행동 (passive response)

관리자에게는 침입 정보만 제공

실제 대응 행동은 제공된 정보를 기초로 관리자가 수행

종류 : 알림 및 경보, SNMP Trap 등

능동적 대응행동 (active response)

실제 대응행동을 IDS가 자동적으로 수행

진행 중인 침입의 추가적인 진행 차단

침입자에 의한 추가적인 공격 차단

침입자 세션 종료 : TCP Reset 이용

라우터 (router) 또는 Firewall 재설정

종류 : 환경 변경, 침입자에 대한 역공격 등

 

---

ⅳ. 침입 탐지 시스템의 장단점

장점

내부 사용자의 오/남용 탐지 및 방어 가능

해킹 사고 발생 시 어느 정도의 근원지 추적 가능

단점

대규모 네트워크에 사용 곤란

관리 및 운영 어려움

새로운 침입 기법에 대한 즉각적인 대응 곤란