정보보안기사&산업기사 필기 28장 요약 - IDS/IPS (네트워크 보안)

정보보안기사 필기 28장 요약내용입니다.

2 minute read

* 2020 조현준 정보보안기사 산업기사 필기 + 핵심기출 1200제 정보보안기사 & 산업기사 필기 교재를 기반으로 요약하였습니다.

Section 28. IDS/IPS (네트워크 보안)

▶ 네트워크에서 사용되는 자원의 무결성, 비밀성, 가용성을 저해하는 비정상적인 사용과 오용 및 남용 등의 행위를 가능한 실시간으로 관리자에게 경고 메시지를 통보하고 대응하는 시스템

데이터 수집 → 데이터 가공 및 축약 → 침입분석 및 탐지 → 보고 및 대응

분류형태	특징	장점	단점
지식기반/오용 침입탐지	- 특정 공격에 관한 분석결과를 바탕으로 패턴을 설정 - 패턴과 비교를 통해 일피하는 경우 불법 침입으로 간주하는 방법	- 오탐률이 낮음 - 전문가 시스템 이용 - 트로이목마, 백도어 공격 탐지 가능	- 지속적인 공격패턴 갱신 필요 - 새로운 공격에 대해 탐지 불가능
행위기반/비정상행위 침입탐지	- 사용자의 행동양식을 분석한 후 정상적인 행동과 비교하여 비정상 혹은 급격한 변화가 발견되면 불법침입으로 탐지 - 정량적 분석, 통계적 분석 사용 - 형태관찰, 프로파일 생성, 프로파일 기반(I/O사용량, 로그인 횟수, 패킷량)으로 이상여부를 확인	- 인공지능 알고리즘 사용으로 수작업 패턴 업데이트 불필요 - 알려지지 않은 새로운 공격 탐지 가능	- 오탐률이 높음 - 정상과 비정상 구분을 위한 임계치 설정이 어려움

분류형태	특징	장점	단점
호스트 기반	서버에 직접설치 되어 네트워크 환경과 무관	- 다양한 로그자료를 통해 정확한 침입방지 가능 - 호스트에 대한 명백한 침투 탐지 가능 - 트로이목마, 백도어, 내부자에 의한 공격탐지/차단 가능	- 해커에 의한 로그 자료 변조 가능 - DoS공격으로 IDS 무력화 가능 - 호스트 성능에 의존적 - 리소스 사용으로 서버부하 발생
네트워크 기반	네트워크 세그먼트당 하나의 감지기만 설치하면 되므로 설치 용이	- 네트워크에서 실행되어 개별 서버의 성능 저하 없음 - 네트워크에서 발생하는 여러 유형의 침입을 탐지 - 해커의 IDS 공격에 대한 방어가능 및 존재 사실 숨김 가능	- 패킷이 암호화되어 전송될 때 침입탐지 불가능 - 트래픽이 많이 증가함에 따라 성능 문제 야기 -오탐률 높음

▶ 실제 자료를 가진 호스트인 것처럼 네트워크상에 존재하면서 공격자를 속여 침해당함으로써 그들의 행동, 공격기법, 목적 등을 분석하는데 사용

- 제로데이 공격을 사전에 탐지할 수 있는 예방통제 기술

- 자신에게 오는 패킷만 수집하므로 네트워크 전반에 대한 침입정보를 분석 불가능

1) 중요한 시스템에 접근하는 공격자를 허니팟으로 돌린다.

2) 공격자의 동작에 관한 정보를 수집

3) 관리자가 반응할 수 있도록 공격자가 시스템에 충분히 오랜 시간 동안 머무르기를 유도

• 침입이 일어나기 전에 실시간으로 침입을 막는 능동형 보안 솔루션

• 침입을 탐지했을 경우에 대처까지 수행

• 취약점을 능동적으로 사전에 보완하고, 알려지지 않은 공격까지 차단

• 방화벽, IDS에 대한 대안으로 제시됨