침입 탐지 시스템

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요

침입 탐지 시스템(IDS)은 악의적인 활동에 대한 네트워크 또는 시스템 활동을 모니터링하여 보안 침해를 탐지하는 장치이다. IDS는 탐지 위치(호스트 또는 네트워크)나 탐지 방법에 따라 분류되며, 네트워크 기반(NIDS), 호스트 기반(HIDS), 하이브리드 방식으로 나뉜다. NIDS는 네트워크 트래픽을 검사하고, HIDS는 개별 호스트의 활동을 모니터링하며, 하이브리드는 두 방식을 결합한다. 탐지 방법으로는 시그니처 기반, 이상 징후 기반, 상태 기반 프로토콜 분석이 사용된다. 침입 방지 시스템(IPS)은 IDS의 확장으로, 감지된 침입을 능동적으로 방지하거나 차단하는 기능을 추가한다. IDS는 잡음, 시그니처 갱신의 지연, 암호화된 트래픽 처리의 어려움 등의 한계를 가진다. 한국은 사이버 공격 위협에 대응하기 위해 IDS 도입을 확대하고 있으며, 정부와 관련 기관을 중심으로 사이버 보안 정책을 강화하고 있다.

2. 침입 탐지 시스템의 유형

침입 탐지 시스템(IDS)은 탐지가 이루어지는 위치와 탐지 방법에 따라 분류할 수 있다.^[7]

IDS는 주로 다음과 같은 용도로 사용된다.^[60]

사고 식별 및 사고 대응 지원
보안 정책 문제 식별: 예를 들어 방화벽과 동일한 규칙 집합을 IDPS에 설정하여 방화벽 측의 설정 오류로 인해 원래 차단되어야 할 통신이 차단되지 않을 때 경고를 받을 수 있다.
조직이 직면한 기존 위협 문서화: IDPS의 탐지 로그에서 공격 경향 및 빈도를 파악하여 적절한 대책에 활용할 수 있다.
개인 보안 정책 위반 억제: IDPS에 의해 감시되고 있다는 사실이 개인의 부정을 억제한다.

IDPS의 대부분은 다음과 같은 기능을 갖추고 있다.^[58]

이벤트의 감시, 분석 및 원치 않는 활동 식별 기능
관측한 이벤트에 대한 정보 기록: 로컬 기록 기능은 물론, SIEM(시큐리티 정보 및 이벤트 관리)이나 엔터프라이즈 관리 시스템과 연계하여 정보를 통합 관리할 수 있는 기능이 있는 경우가 있다.
관측한 중요 이벤트를 보안 관리자에게 통지(알림)하는 기능: 통지 방법으로는 이메일, 페이저, 전용 UI, SNMP 트랩, syslog, 사용자 스크립트 사용 등이 있다.
보고서 작성 기능: 감시 이벤트의 개요, 주목할 만한 이벤트의 상세 정보 등의 보고서를 생성한다.

또한 다음과 같은 기능을 갖추고 있는 경우도 있다.

보안 프로파일 갱신 기능: 예를 들어, 악의적인 통신을 감지한 경우에만 평소보다 상세하게 정보 수집을 하거나, 사전에 설정된 특정 트리거에 일치하는 경우에만 알림의 우선 순위를 변경하는 기능

IPS의 경우에는 공격 저지 기능도 갖추고 있으며, 저지 방법으로는 다음과 같은 것이 있다.^[58]

IPS 자체에 의한 공격 저지: 공격으로 판단된 네트워크 접속이나 사용자 세션의 종료, 공격자로 판단된 사용자 계정이나 IP 주소의 차단, 공격의 표적이 된 호스트, 서비스, 애플리케이션 등의 리소스 차단.
다른 장비의 보안 설정 변경: 예를 들어 라우터나 스위치와 같은 네트워크 장치나 (호스트 기반 또는 네트워크 기반의) 방화벽의 규칙을 변경하여 공격을 차단하거나, 패치를 자동 적용한다.
공격 무해화: 예를 들어 멀웨어로 판단된 첨부 파일을 전자 메일에서 제거하거나, 프록시로서 기능하여 통신의 헤더 정보를 폐기하여 페이로드를 패키징하는 것과 같은 정규화 작업을 수행한다.

2. 1. 탐지 위치에 따른 분류

침입 탐지 시스템은 탐지 위치에 따라 크게 세 가지로 분류된다.

'''네트워크 기반 시스템 (NIDS)''': 네트워크, DMZ 또는 네트워크 경계의 주요 지점에 센서를 배치하여 네트워크 트래픽을 감시한다. 센서는 모든 네트워크 트래픽을 캡처하여 각 패킷의 내용을 분석하고 악의적인 트래픽을 탐지한다.
'''호스트 기반 시스템 (HIDS)''': 감시 대상 호스트에 설치된 소프트웨어 에이전트를 통해 호스트의 활동을 감시한다. 에이전트는 시스템 콜, 애플리케이션 로그, 파일 시스템 변경 사항 등을 분석하여 침입을 탐지한다.
'''하이브리드 시스템''': 네트워크 기반 시스템과 호스트 기반 시스템을 결합한 형태이다. 호스트 에이전트 데이터와 네트워크 정보를 결합하여 네트워크에 대한 종합적인 관점을 제공한다. 하이브리드 IDS의 예로 Prelude가 있다.

IDS는 방화벽과 다르다. 방화벽은 정적인 규칙 집합을 사용하여 네트워크 연결을 허용하거나 거부하는 반면, IDS는 의심스러운 침입이 발생한 후 이를 설명하고 경보를 보낸다. 또한 IDS는 시스템 내부에서 시작되는 공격도 감시한다.^[6] IDS는 탐지가 이루어지는 위치(네트워크 또는 호스트) 또는 사용되는 탐지 방법에 따라 분류될 수 있다.^[7]

2. 1. 1. 네트워크 기반 침입 탐지 시스템 (NIDS)

네트워크 기반 침입 탐지 시스템(NIDS, Network Intrusion Detection System)은 네트워크 트래픽을 감시하여 악의적인 활동을 탐지하는 시스템이다. 주로 네트워크 경계(방화벽 내부 또는 DMZ)나 주요 네트워크 세그먼트에 설치되어 여러 호스트를 동시에 감시한다.^[6] NIDS는 포트 미러링이나 네트워크 탭을 통해 네트워크 트래픽에 접근하며, 허브나 네트워크 스위치에 연결하여 트래픽을 검사한다.

NIDS는 네트워크 내의 전략적 지점에 배치되어 모든 장치로 오가는 트래픽을 모니터링한다.^[8] 전체 서브네트워크를 통과하는 트래픽을 분석하고, 알려진 공격의 라이브러리와 비교하여 공격을 식별한다. 공격이 탐지되면 관리자에게 경고를 보낸다.^[9]

NIDS는 방화벽 서브넷에 설치되어 방화벽 침입 시도를 확인할 수 있다. 모든 인바운드 및 아웃바운드 트래픽을 스캔하는 것이 이상적이지만, 이는 네트워크 속도 저하를 유발할 수 있다.

NIDS는 시스템 상호 작용 속성에 따라 온라인(인라인) 및 오프라인(탭 모드)의 두 가지 유형으로 분류된다. 온라인 NIDS는 실시간으로 네트워크를 처리하고, 오프라인 NIDS는 저장된 데이터를 처리한다.

NIDS는 탐지 및 예측률을 높이기 위해 인공 신경망(ANN)과 같은 다른 기술과 결합될 수 있다. ANN 기반 IDS는 방대한 양의 데이터를 분석할 수 있지만, 복잡한 구조로 인해 시간이 소요된다.^[10] 신경망은 학습을 통해 공격을 예측하고, IDS가 침입 패턴을 보다 효율적으로 인식하도록 돕는다.^[11]

IDPS는 다음과 같이 4가지 종류로 분류할 수 있다.^[57]

IDPS 분류
분류	센서/에이전트 주요 설치 장소	주요 탐지 이벤트	비고	기술적 제약
네트워크 기반 IDPS	네트워크 경계^[63]
무선 IDPS	감시 대상 무선 네트워크의 통신 범위 내 또는 무허가 무선 네트워크 활동이 의심되는 장소^[63]
NBA(Network Behavior Analysis)	조직 내 네트워크 흐름을 감시할 수 있는 장소, 또는 조직 내와 외부 네트워크 사이의 통신 흐름을 감시할 수 있는 장소^[63]
호스트 기반 IDPS	공격에 취약한 공개 서버나 기밀 정보가 있는 서버 등 중요 호스트^[63]

네트워크 기반 IDPS와 NBA는 모두 네트워크를 감시하지만, 네트워크 기반 IDPS는 주로 조직 LAN과 외부 네트워크의 경계에 설치되어 경계를 넘나드는 통신을 감시하고, NBA는 조직 LAN 내에 설치되어 LAN 내의 통신을 감시한다.

네트워크 기반 IDS, IPS는 각각 '''NIDS''', '''NIPS'''로 줄여 부른다.

네트워크 기반 IDPS의 센서 설치 방법으로는 인라인형과^[87] 수동형이 있다.^[87] 인라인 형은 방화벽 전후에 설치할 수 있다. 수동형은 네트워크의 여러 위치의 통신을 복사하여 분석할 수 있다.^[87]

2. 1. 2. 호스트 기반 침입 탐지 시스템 (HIDS)

호스트 침입 탐지 시스템(HIDS)은 네트워크의 개별 호스트 또는 장치에서 실행된다. HIDS는 해당 호스트에 설치된 소프트웨어 에이전트로 구성되어 시스템 호출, 애플리케이션 로그, 파일 시스템의 수정 사항(이진 파일, 패스워드 파일, capability/acl 데이터베이스) 및 호스트의 동작과 상태 등을 분석하여 침입을 식별한다.^[14]^[15]

HIDS는 장치에서 들어오고 나가는 패킷만 모니터링하며, 의심스러운 활동이 감지되면 사용자 또는 관리자에게 경고한다. 기존 시스템 파일의 스냅샷을 찍어 이전 스냅샷과 비교하여, 중요한 시스템 파일이 수정되거나 삭제된 경우 관리자에게 조사하라는 경고를 전송한다. HIDS는 구성을 변경할 필요가 없는 미션 크리티컬 머신에서 주로 사용된다.^[14]^[15]

2. 1. 3. 하이브리드 침입 탐지 시스템

하이브리드 침입 탐지 시스템은 호스트 에이전트 데이터와 네트워크 정보를 결합하여 분석한다. 네트워크 정보와 호스트 정보를 종합하여 네트워크를 분석함으로써 더 넓은 범위의 공격을 탐지할 수 있다. 하이브리드 침입 탐지 시스템의 한 예시로 Prelude가 있다.

2. 2. 탐지 방법에 따른 분류

침입 탐지 시스템은 탐지 방법에 따라 다음과 같이 분류된다.^[7]

시그니처 기반 탐지: 네트워크 트래픽에서 바이트 시퀀스나 멀웨어가 사용하는 알려진 악성 명령어 시퀀스와 같은 특정 패턴을 찾아 공격을 탐지한다.^[16] 안티 바이러스 소프트웨어에서 유래된 용어로, 탐지된 패턴을 시그니처라고 한다. 알려진 공격은 쉽게 탐지할 수 있지만, 새로운 공격은 탐지하기 어렵다.^[17]
이상 징후 기반 탐지: 머신 러닝을 사용하여 신뢰할 수 있는 활동 모델을 만들고, 새로운 동작을 이 모델과 비교하여 공격을 탐지한다. 알려지지 않은 공격을 탐지할 수 있지만, 오탐의 위험이 있다.^[18] 가트너는 사용자 및 개체 행동 분석(UEBA)^[19], 네트워크 트래픽 분석(NTA)^[20]과 같은 새로운 유형의 이상 징후 기반 침입 탐지 시스템을 제시했다.
상태 기반 프로토콜 분석: (주어진 원본 소스에 관련 내용 없음)

2. 2. 1. 시그니처 기반 탐지

시그니처 기반 침입 탐지 시스템(악용 탐지 시스템)은 악의적인 것으로 추정되는 트래픽 또는 애플리케이션 데이터의 패턴을 감시하여 침입을 식별한다. 이러한 시스템은 오직 '알려진' 공격만 탐지할 수 있다고 여겨진다. 그러나 규칙 집합에 따라, 시그니처 기반 IDS는 때때로 알려진 공격과 특징을 공유하는 새로운 공격을 탐지할 수 있다. (예: HTTP GET 요청을 통한 'cmd.exe' 접근)^[16]

IDS는 수집된 정보를 분석하여 공격 시그니처를 저장하는 데이터베이스와 비교한다. IDS는 이미 문서화된(알려진) 특정 공격을 찾는 것이다. 바이러스 탐지 시스템처럼, 악용 탐지 소프트웨어는 패킷 비교를 위해 사용되는 공격 시그니처 데이터베이스에 의존한다.

시그니처 기반 침입 탐지 시스템은 네트워크 트래픽의 바이트 시퀀스 또는 멀웨어가 사용하는 알려진 악성 명령어 시퀀스와 같은 특정 패턴을 검색하여 공격을 탐지한다.^[16] 이 용어는 탐지된 패턴을 시그니처라고 하는 안티 바이러스 소프트웨어에서 유래되었다. 시그니처 기반 침입 탐지 시스템은 알려진 공격을 쉽게 탐지할 수 있지만, 패턴을 사용할 수 없는 새로운 공격을 탐지하기는 어렵다.^[17]

시그니처 기반 침입 탐지 시스템에서 시그니처는 모든 제품에 대해 공급업체에서 배포한다. IDS를 시그니처로 적시에 업데이트하는 것이 중요하다.

2. 2. 2. 이상 징후 기반 탐지

이상 징후 기반 침입 탐지 시스템은 네트워크 또는 호스트의 일반적인 동작과 다른 것으로 추정되는 트래픽 또는 애플리케이션 콘텐츠를 시스템 운영자에게 알려 침입을 식별한다. 변칙 기반 IDS는 일반적으로 스스로 학습하여 이를 이룬다.

이상 징후 탐지에서, 시스템 관리자는 네트워크의 트래픽 로드, 고장(breakdown), 프로토콜, 그리고 일반적인 패킷 크기에 대한 기준선 또는 일반 상태를 정의한다. 변칙 탐지자(anomaly detector)는 네트워크 세그먼트를 모니터하여 정의된 기준과 그들의 상태를 비교하고 변칙을 찾는다.

이상 징후 기반 침입 탐지 시스템은 주로 알려지지 않은 공격을 탐지하기 위해 도입되었으며, 이는 부분적으로 악성 코드의 급속한 발전에 기인한다. 기본적인 접근 방식은 머신 러닝을 사용하여 신뢰할 수 있는 활동의 모델을 생성한 다음, 새로운 동작을 이 모델과 비교하는 것이다. 이러한 모델은 응용 프로그램 및 하드웨어 구성에 따라 훈련될 수 있으므로 머신 러닝 기반 방법은 기존의 시그니처 기반 IDS에 비해 더 나은 일반화 속성을 가진다. 이 접근 방식은 이전에 알려지지 않은 공격을 탐지할 수 있지만, 이전에 알려지지 않은 합법적인 활동도 악성으로 분류될 수 있는 오탐의 위험이 있다.^[18] 기존의 대부분의 IDS는 탐지 과정에서 시간이 오래 걸려 IDS의 성능을 저하시키는 문제점을 가지고 있다. 효율적인 특성 선택 알고리즘은 탐지에 사용되는 분류 프로세스를 더욱 신뢰할 수 있게 만든다.

새로운 유형의 이상 징후 기반 침입 탐지 시스템은 가트너에서 사용자 및 개체 행동 분석(UEBA)^[19](사용자 행동 분석 범주의 진화) 및 네트워크 트래픽 분석(NTA)^[20]으로 간주하고 있다. 특히 NTA는 악의적인 내부자뿐만 아니라 사용자 시스템이나 계정을 손상시킨 표적 외부 공격을 다룬다. 가트너는 일부 조직이 더 전통적인 IDS보다 NTA를 선택했다고 언급했다.^[21]

2. 2. 3. 상태 기반 프로토콜 분석

주어진 원본 소스에 상태 기반 프로토콜 분석에 대한 내용이 없으므로, 해당 섹션은 작성할 수 없습니다.

2. 3. 대응 방식에 따른 분류

침입 방지 시스템은 크게 서명 기반, 통계적 이상 기반, 상태 저장 프로토콜 분석의 세 가지 탐지 방법을 사용한다.

'''서명 기반 탐지''': 네트워크 패킷을 모니터링하고, 미리 구성된 공격 패턴(서명)과 비교한다. 간단하고 효과적이지만, 알려지지 않은 공격은 탐지하지 못한다.^[23]
'''통계적 이상 기반 탐지''': 네트워크 트래픽을 모니터링하고 설정된 기준선과 비교한다. 기준선은 해당 네트워크에서 "정상"적인 상태를 나타낸다. 그러나 기준선이 적절하게 설정되지 않으면 정상적인 트래픽에 대해서도 경보가 발생할 수 있다.^[24]
'''상태 저장 프로토콜 분석 탐지''': 관찰된 이벤트를 "일반적으로 허용되는 무해한 활동"의 프로필과 비교하여 프로토콜 상태의 편차를 식별한다. 프로토콜 상태를 추적할 수 있지만, 많은 자원이 필요하다.^[23]

2. 3. 1. 수동적 시스템 (Passive System)

수동적 시스템에서 IDS 센서는 가능성 있는 보안 침해 사항을 탐지하여 정보를 로그로 기록하고 콘솔을 통해 경고 신호를 보낸다.^[1] 반응적 시스템에서 IDS 센서는 의심스러운 동작에 대해 자율적으로 또는 시스템 운영자에 의해 사용자를 로그 오프시키거나, 방화벽을 다시 프로그래밍하여 의심스러운 악의적 출처로부터 네트워크 트래픽을 차단하도록 응수한다.^[1]

방화벽은 침입을 막기 위해 네트워크 사이의 접근을 제한하며 네트워크 내에서의 공격에 대한 신호를 보내지 않지만, IDS는 일단 의심스러운 침입이 발생하면 그것을 평가하고 경보 신호를 보낸다.^[2] IDS는 또한 현 시스템 내부에서 발생한 공격에 대해서도 감시한다.^[2]

IDS는 전통적으로 네트워크 통신을 검사하고, 일반적인 컴퓨터 공격에 대한 휴리스틱과 패턴(시그니처)을 식별하며, 시스템 운영자에게 경고하기 위한 동작을 취한다.^[3] 네트워크 연결을 끝내는 시스템은 침입 차단 시스템이라 불리며, 이것은 애플리케이션 계층 방화벽의 또 다른 형태이다.^[3]

2. 3. 2. 반응적 시스템 (Reactive System)

반응적 시스템에서 IDS 센서는 의심스러운 동작에 대해 자율적으로, 또는 시스템 운영자에 의해 사용자를 로그오프시키거나, 방화벽을 다시 프로그래밍하여 의심스러운 악의적 출처로부터 네트워크 트래픽을 차단하도록 반응한다.^[1]

IDS는 침입 발생 자체를 막기 위한 방화벽과는 다르다.^[1] 방화벽은 침입을 막기 위해 네트워크 사이의 접근을 제한하며, 네트워크 내에서의 공격에 대한 신호를 보내지 않는다.^[1] 반면 IDS는 의심스러운 침입이 발생하면 그것을 평가하고 경보 신호를 보낸다.^[1] IDS는 또한 현 시스템 내부에서 발생한 공격에 대해서도 감시한다.^[1]

IDS는 전통적으로 네트워크 통신을 검사하고, 일반적인 컴퓨터 공격에 대한 휴리스틱과 (시그니처로도 알려진) 패턴을 식별하며, 시스템 운영자에게 경고하기 위한 동작을 취한다.^[1] 네트워크 연결을 끝내는 시스템은 침입 차단 시스템이라 불리며, 애플리케이션 계층 방화벽의 또 다른 형태이다.^[1]

3. 침입 방지 시스템 (IPS)

침입 방지 시스템(IPS, Intrusion Prevention System)은 침입 탐지 시스템(IDS)의 기능을 확장한 것으로, 단순 침입 탐지를 넘어 능동적으로 공격을 차단하고 방어하는 역할을 수행한다. 이는 마치 경보만 울리는 것이 아니라 직접 도둑을 쫓아내는 경비원과 같다.

IPS는 네트워크를 통과하는 트래픽을 실시간으로 샅샅이 살펴보고, 공격으로 의심되는 패턴이 발견되면 즉시 조치를 취한다. 이러한 조치에는 다음과 같은 것들이 있다.^[6]

공격 차단: 공격 트래픽을 네트워크에 들어오지 못하게 막는다.
악성 패킷 제거: 해로운 데이터 조각을 골라내어 제거한다.
연결 재설정: 공격자와의 연결을 강제로 끊어버린다.
IP 주소 차단: 특정 IP 주소에서 오는 트래픽을 막아, 추가 공격을 예방한다.

IPS는 순환 중복 검사(CRC) 오류를 수정하거나, 패킷 조각을 모아 원래대로 만들고, TCP 시퀀싱 문제를 해결하는 등 네트워크 통신을 원활하게 하는 역할도 수행한다.^[22]

IPS는 응용 계층 방화벽과 유사하게 접근 제어를 수행하여 네트워크 보안을 강화한다. 기존의 네트워크 방화벽이 정적인 규칙에 따라 네트워크 연결을 허용하거나 거부하는 반면, IPS는 실시간으로 트래픽을 분석하여 동적으로 공격을 차단한다는 점에서 차이가 있다.

3. 1. IPS의 분류

IPS는 다음과 같이 분류할 수 있다.

네트워크 기반 침입 방지 시스템(NIPS): 네트워크 전체를 모니터링하며, 프로토콜 활동을 분석하여 의심스러운 트래픽을 탐지한다.
무선 침입 방지 시스템(WIPS): 무선 네트워크를 모니터링하며, 무선 네트워킹 프로토콜을 분석하여 의심스러운 트래픽을 탐지한다.
네트워크 동작 분석(NBA): 네트워크 트래픽을 검사하여 분산 서비스 거부(DDoS) 공격, 특정 형태의 멀웨어, 정책 위반 등 비정상적인 트래픽 흐름을 유발하는 위협을 식별한다.
호스트 기반 침입 방지 시스템(HIPS): 단일 호스트에 설치되는 소프트웨어 패키지로, 해당 호스트 내에서 발생하는 이벤트를 분석하여 의심스러운 활동을 탐지한다.

IPS 분류^[57]
분류	센서/에이전트 주요 설치 장소	주요 탐지 이벤트	비고	기술적 제약
네트워크 기반 IDPS	네트워크 경계^[63]
무선 IDPS	감시 대상 무선 네트워크의 통신 범위 내 또는 무허가 무선 네트워크 활동이 의심되는 장소^[63]
NBA(Network Behavior Analysis)	조직 내 네트워크 흐름 또는 조직 내와 외부 네트워크 사이의 통신 흐름을 감시할 수 있는 장소^[63]
호스트 기반 IDPS	공격에 취약한 공개 서버나 기밀 정보가 있는 서버 등 중요 호스트^[63], PC와 같은 클라이언트 호스트 및 애플리케이션 서비스^[81]

네트워크 기반 IDPS와 NBA는 모두 네트워크를 감시하지만, 전자는 주로 네트워크 경계에 설치되어 통신을 감시하고, NBA는 조직 LAN 내에 설치되어 LAN 내 통신을 감시한다는 차이점이 있다.

4. 침입 탐지 시스템의 구성 요소

침입 탐지 시스템(IDS)은 네트워크 방화벽 외부 또는 내부에 배치할 수 있다. 방화벽 외부에 배치하면 인터넷에서 유입되는 잡음과 포트 스캔, 네트워크 매퍼와 같은 공격을 방어하고, OSI 모델 4~7계층을 모니터링하여 시그니처 기반 탐지를 수행한다.^[27] 이는 방화벽을 통과한 실제 침입 대신 시도된 침입을 알려주어 오탐을 줄이고, 공격 발견 시간을 단축시킨다.^[27] 고급 IDS는 방화벽과 통합되어 라우팅 및 브리지 모드에서 여러 보안 컨텍스트를 제공하여 운영 복잡성을 줄이기도 한다.^[27]

네트워크 내부에 IDS를 배치하면 내부 공격이나 의심스러운 활동을 탐지할 수 있다.^[27] 이는 사용자가 보안 위험을 초래하거나, 이미 침입한 공격자가 자유롭게 활동하는 것을 방지한다.^[27] 강력한 인트라넷 보안은 해커의 권한 조작 및 에스컬레이션을 어렵게 만든다.^[27]

IDPS는 주로 다음과 같은 기능을 갖는다.

이벤트 감시, 분석 및 원치 않는 활동 식별^[58]
관측한 이벤트 정보 기록 (로컬 기록, SIEM 연계)^[58]
보안 관리자에게 중요 이벤트 통지 (이메일, 페이저, 전용 UI, SNMP 트랩, syslog, 사용자 스크립트 등)^[58]
보고서 작성 (감시 이벤트 개요, 상세 정보 등)^[58]
보안 프로파일 갱신 기능^[58]

IPS는 추가로 공격 저지 기능을 갖추고 있으며, 방법은 다음과 같다.

IPS 자체에 의한 공격 저지 (네트워크 접속/세션 종료, 사용자 계정/IP 주소 차단, 리소스 차단)^[58]
다른 장비의 보안 설정 변경 (라우터/스위치/방화벽 규칙 변경, 패치 자동 적용)^[58]
공격 무해화 (멀웨어 첨부 파일 제거, 프록시 기능, 정규화)^[58]

IDPS의 주요 구성 요소는 다음과 같다.^[61]


명칭	개요
센서 또는 에이전트	활동 감시 및 분석 수행. 네트워크 감시는 센서, 호스트 감시는 에이전트 사용. 소프트웨어 또는 어플라이언스로 제공.
관리 서버	센서/에이전트 정보 수집 및 분석(상관 분석). 단독으로 특정 불가능한 이벤트 특정.
데이터베이스 서버	센서, 에이전트, 관리 서버의 이벤트 정보 저장.
콘솔	IDPS 관리자/사용자에게 사용자 인터페이스 제공. 설정 관리/감시・분석 전용 콘솔 분리 가능.

로그는 로컬과 집중 로그 서버 양쪽에 보관하여 데이터 완전성과 가용성을 확보하는 것이 좋다.^[61] 정확한 분석을 위해 NTP 등으로 모든 구성 요소 간 시간 일관성을 유지해야 한다.^[61]

IDPS 구성 요소 간 통신은 조직 표준 네트워크 또는 IDPS 관리 전용 네트워크를 이용한다. 관리 전용 네트워크는 IDPS 자체 공격 방지, 표준 네트워크 문제 발생 시에도 감시/분석 가능하나 비용이 증가한다.^[61] VLAN 분리는 비용 절감하나 물리적 분리만큼 안전하지 않고 네트워크 포화 위험이 높다.^[61]

오픈 소스 IDPS인 Snort의 관리 서버는 다음과 같다.^[62]


명칭	개요
패킷 캡처부	네트워크 상의 패킷 수집
프리프로세서부	캡처한 패킷 정규화. 분석 용이, 공격자 탐지 회피 방지 목적.
탐지 엔진부	정규화된 패킷 상관 분석.
아웃풋 프로세서부	공격 판단 시 관리자에게 경고.

IDPS는 패킷 캡처에 pcap, BPF 등을 사용한다.^[62] 상용 IDPS는 대량 트래픽 처리를 위해 전용 NIC를 사용하기도 한다.^[62]

4. 1. 센서/에이전트

센서 또는 에이전트는 네트워크 트래픽이나 호스트의 활동을 감시하고 분석하는 구성 요소이다. 네트워크 기반 시스템에서는 센서, 호스트 기반 시스템에서는 에이전트라는 용어를 사용한다.^[61] 센서는 소프트웨어 또는 어플라이언스 형태로 제공될 수 있다.

네트워크 기반 시스템 (NIDS): 센서는 모니터할 네트워크 또는 DMZ, 네트워크 경계의 초크 포인트(choke point)에 위치한다. 모든 네트워크 트래픽의 흐름을 캡처하여 각 패킷 내용을 분석해 악의적인 트래픽을 탐지한다.
호스트 기반 시스템 (HIDS): 센서는 주로 설치된 호스트의 모든 활동을 감시하는 소프트웨어 에이전트로 구성된다.
하이브리드 시스템: 위의 두 가지 방식을 결합한 형태이다. 호스트 에이전트 데이터와 네트워크 정보를 결합하여 네트워크를 종합적으로 관찰한다.

센서와 에이전트는 OS 버전 등의 정보 수집 기능을 갖추고 있는 경우가 있다.^[61]

4. 2. 관리 서버

관리 서버는 센서나 에이전트로부터 수집된 정보를 통합하고 분석하는 역할을 한다.^[61] 여러 센서/에이전트의 정보를 종합하여 분석('''상관 분석''')함으로써, 단일 센서/에이전트로는 탐지하기 어려운 공격을 식별한다.^[61]

4. 3. 데이터베이스 서버

데이터베이스 서버는 센서, 에이전트, 관리 서버에서 생성된 이벤트 정보를 저장한다.^[61]

4. 4. 콘솔

콘솔은 침입 탐지 및 방지 시스템(IDPS)의 관리자나 사용자에게 사용자 인터페이스를 제공한다^[61]. IDPS의 설정 관리에 전용 콘솔과 감시・분석 전용 콘솔이 분리되어 있는 경우도 있다^[61].

5. 침입 탐지 시스템의 한계

잡음은 침입 탐지 시스템(IDS)의 효율성을 심각하게 제한할 수 있다. 소프트웨어 버그로 생성된 잘못된 패킷, 손상된 DNS 데이터, 그리고 유출된 로컬 패킷은 거짓 경보율을 상당히 높일 수 있다.^[28]

실제 공격 횟수가 거짓 경보 횟수보다 훨씬 적은 것은 드문 일이 아니다. 실제 공격 횟수는 종종 거짓 경보 횟수보다 훨씬 적어서 실제 공격이 종종 놓치고 무시된다.^[28]

많은 공격은 대개 구식이 된 특정 버전의 소프트웨어를 대상으로 한다. 위협을 완화하기 위해서는 지속적으로 변경되는 시그니처 라이브러리가 필요하다. 구식 시그니처 데이터베이스는 IDS를 새로운 전략에 취약하게 만들 수 있다.^[28]

시그니처 기반 IDS의 경우, 새로운 위협이 발견된 후 해당 시그니처가 IDS에 적용되기까지 지연이 발생한다. 이 지연 시간 동안 IDS는 위협을 식별할 수 없다.^[24]

취약한 식별 및 인증 메커니즘이나 네트워크 프로토콜의 취약점을 보완할 수 없다. 공격자가 취약한 인증 메커니즘으로 인해 접근 권한을 얻으면 IDS는 적대자가 어떠한 부정 행위를 하는 것을 막을 수 없다.

암호화된 패킷은 대부분의 침입 탐지 장치에서 처리되지 않는다. 따라서 암호화된 패킷은 더 심각한 네트워크 침입이 발생할 때까지 발견되지 않은 채 네트워크 침입을 허용할 수 있다.

침입 탐지 소프트웨어는 네트워크로 전송되는 IP 패킷과 관련된 네트워크 주소를 기반으로 정보를 제공한다. 이는 IP 패킷에 포함된 네트워크 주소가 정확할 경우 유용하다. 그러나 IP 패킷에 포함된 주소는 위조되거나 섞일 수 있다.

NIDS 시스템의 특성상, 그리고 캡처된 프로토콜을 분석해야 할 필요성 때문에 NIDS 시스템은 네트워크 호스트가 취약할 수 있는 것과 동일한 프로토콜 기반 공격에 취약할 수 있다. 잘못된 데이터와 TCP/IP 스택 공격은 NIDS를 충돌시킬 수 있다.^[29]

클라우드 컴퓨팅의 보안 조치는 사용자의 개인 정보 보호 요구 사항의 변화를 고려하지 않는다.^[30] 그들은 사용자가 회사인지 개인인지에 관계없이 모든 사용자에게 동일한 보안 메커니즘을 제공한다.^[30]

6. 침입 탐지 시스템의 발전

침입 탐지 시스템(IDS)의 개념은 1980년 국가안보국(National Security Agency)의 제임스 앤더슨(James Anderson)이 처음 제시했다. 그는 관리자가 감사 추적(audit trail)을 검토하는 데 도움을 주는 도구 세트를 제안했다.^[31] 감사 추적에는 사용자 액세스 로그, 파일 액세스 로그, 시스템 이벤트 로그 등이 있다.

1986년 도로시 E. 데닝(Dorothy E. Denning)은 피터 G. 노이만(Peter G. Neumann)의 도움을 받아 오늘날 많은 시스템의 기반이 되는 IDS 모델을 발표했다.^[33] 이 모델은 이상 징후 탐지를 위해 통계를 사용했으며, SRI 인터내셔널에서 침입 탐지 전문가 시스템(IDES)이라는 초기 IDS 개발로 이어졌다. IDES는 썬 마이크로시스템즈(Sun Microsystems) 워크스테이션에서 실행되었으며, 사용자 및 네트워크 수준 데이터를 모두 고려했다.^[34] IDES는 알려진 침입 유형을 탐지하는 규칙 기반 전문가 시스템과 사용자, 호스트 시스템 및 대상 시스템 프로필 기반 통계적 이상 징후 탐지 구성 요소를 사용하는 이중 접근 방식을 채택했다.

이후 다양한 IDS가 개발되었는데, 주요 내용은 다음과 같다.

연도	시스템 이름	개발 기관	주요 특징
1987	-	프레드 코헨	모든 침입 탐지는 불가능하며, 탐지에 필요한 자원은 사용량에 따라 증가한다고 언급.^[32]
1988	MIDAS	-	Multics 침입 탐지 및 경고 시스템. P-BEST와 Lisp를 사용한 전문가 시스템.^[36]
1988	Haystack	-	감사 추적 감소를 위해 통계 사용.^[37]
1989	Wisdom & Sense (W&S)	로스 알라모스 국립 연구소	통계 기반 이상 징후 탐지기. 통계 분석으로 규칙 생성 후 이상 징후 탐지에 사용.^[39]
1990	시간 기반 유도 머신(TIM)	-	VAX 3500 컴퓨터에서 공통 Lisp로 순차적 사용자 패턴 유도 학습, 이상 징후 탐지 수행.^[40]
1990	네트워크 보안 모니터(NSM)	-	Sun-3/50 워크스테이션에서 이상 징후 탐지를 위해 액세스 매트릭스 마스킹 수행.^[41]
1990	정보 보안 책임자 보조(ISOA)	-	통계, 프로필 검사기, 전문가 시스템 등 다양한 전략 고려한 프로토타입.^[42]
1990	ComputerWatch	AT&T 벨 연구소	감사 데이터 축소 및 침입 탐지를 위해 통계와 규칙 사용.^[43]
1991	분산 침입 탐지 시스템(DIDS)	캘리포니아 대학교 데이비스	전문가 시스템 기반 프로토타입.^[44]
1991	네트워크 이상 징후 탐지 및 침입 보고자(NADIR)	로스 알라모스 국립 연구소	데닝과 런트 연구에 영향. 통계 기반 이상 징후 탐지기와 전문가 시스템 사용.^[45]
1993	차세대 침입 탐지 전문가 시스템(NIDES)	SRI 인터내셔널	IDES의 후속 시스템.^[35]
1998	Bro	로렌스 버클리 국립 연구소	libpcap 데이터 패킷 분석을 위한 자체 규칙 언어 사용.^[46]
1998	APE	-	libpcap을 사용한 패킷 스니퍼. 이후 Snort로 이름 변경.^[48]
1999	Network Flight Recorder(NFR)	-	libpcap 사용.^[47]
2001	감사 데이터 분석 및 마이닝(ADAM)	-	tcpdump를 사용하여 분류 규칙 프로필 구축.^[49]

"IDES: 침입자 탐지를 위한 지능형 시스템"의 저자인 테레사 F. 런트는 IDES에 인공 신경망을 추가할 것을 제안했다.^[34]

2015년에는 비에가스 등이 사물 인터넷(IoT) 응용을 위한 시스템 온 칩(SoC)을 목표로 하는 이상 징후 기반 침입 탐지 엔진을 제안했다. 이 엔진은 머신 러닝을 이상 징후 탐지에 적용하여 에너지 효율성을 높였다.^[51]

참조

_[1] 웹사이트 What is an Intrusion Detection System (IDS)? https://www.checkpoi[...] Check Point Software Technologies 2023-01-01
_[2] 서적 Cyber and Chemical, Biological, Radiological, Nuclear, Explosives Challenges: Threats and Counter Efforts https://books.google[...] Springer 2017-10-30
_[3] 간행물 Intrusion Detection Systems: A Survey and Taxonomy http://neuro.bstu.by[...] 2000-01-01
_[4] 서적 Computer Security: Protecting Digital Resources https://books.google[...] Jones & Bartlett Learning 2009-06-23
_[5] 서적 Honeypots and Routers: Collecting Internet Attacks https://books.google[...] CRC Press 2015-12-02
_[6] 서적 Network and System Security https://books.google[...] Elsevier 2013-08-26
_[7] 서적 Computer and Information Security Handbook https://books.google[...] Morgan Kaufmann 2009-05-04
_[8] 서적 Intrusion detection systems http://worldcat.org/[...] "[U.S. Dept. of Commerce, Technology Administration, National Institute of Standards and Technology]" 2001-01-01
_[9] 논문 Network intrusion detection system: A systematic study of machine learning and deep learning approaches http://dx.doi.org/10[...] 2020-10-16
_[10] 논문 Network intrusion detection system: A systematic study of machine learning and deep learning approaches https://onlinelibrar[...] 2021-01-01
_[11] 서적 2017 International Carnahan Conference on Security Technology (ICCST) IEEE 2017-01-01
_[12] 서적 2018 International Joint Conference on Neural Networks (IJCNN) IEEE 2018-01-01
_[13] 서적 2017 9th Computer Science and Electronic Engineering (CEEC) IEEE 2017-01-01
_[14] 서적 Network World https://books.google[...] IDG Network World Inc 2003-09-15
_[15] 서적 Network and Data Security for Non-Engineers https://books.google[...] CRC Press 2016-08-19
_[16] 웹사이트 A Comparison Between Signature Based and Anomaly Based Intrusion Detection Systems http://www.iup.edu/W[...] 2008-12-04
_[17] 서적 Network Security: Current Status and Future Directions https://books.google[...] John Wiley & Sons 2007-02-09
_[18] 논문 Effective anomaly intrusion detection system based on neural network with indicator variable and rough set reduction 2013-11-01
_[19] 웹사이트 Gartner report: Market Guide for User and Entity Behavior Analytics https://www.gartner.[...] 2015-09-01
_[20] 웹사이트 Gartner: Hype Cycle for Infrastructure Protection, 2016 https://www.gartner.[...]
_[21] 웹사이트 Gartner: Defining Intrusion Detection and Prevention Systems https://www.gartner.[...] 2016-09-20
_[22] 논문 Guide to Intrusion Detection and Prevention Systems (IDPS) http://csrc.ncsl.nis[...] 2007-02-01
_[23] 논문 Intrusion detection system: A comprehensive review https://www.scienced[...] 2013-01-01
_[24] 서적 Principles of Information Security https://archive.org/[...] Course Technology
_[25] 서적 2021 22nd International Arab Conference on Information Technology (ACIT) 2021-12-01
_[26] 웹사이트 IDS Best Practices https://cybersecurit[...] 2020-06-26
_[27] 웹사이트 IDS Placement - CCIE Security https://www.ccexpert[...] 2020-06-26
_[28] 서적 Security Engineering: A Guide to Building Dependable Distributed Systems https://archive.org/[...] John Wiley & Sons
_[29] 웹사이트 Limitations of Network Intrusion Detection https://www.giac.org[...] 2023-12-17
_[30] 논문 Multi-tenant intrusion detection system for public cloud (MTIDS) http://dx.doi.org/10[...] 2018-09-01
_[31] 논문 Computer Security Threat Monitoring and Surveillance https://csrc.nist.go[...] 1980-04-15
_[32] 논문 An Undetectable Computer Virus 2000-01-01
_[33] 문서 An Intrusion Detection Model 1986-05-01
_[34] 문서 IDES: An Intelligent System for Detecting Intruders 1990-11-22
_[35] 문서 Detecting Intruders in Computer Systems 1993-01-01
_[36] 간행물 "Expert Systems in Intrusion Detection: A Case Study" 1988-10
_[37] 간행물 "Haystack: An Intrusion Detection System" 1988-12
_[38] 학술지 Silver Bullet Talks with Becky Bace https://web.archive.[...] 2017-04-18
_[39] 간행물 "Detection of Anomalous Computer Session Activity" 1989-05
_[40] 간행물 "Adaptive Real-time Anomaly Detection Using Inductively Generated Sequential Patterns" 1990
_[41] 간행물 "A Network Security Monitor" 1990
_[42] 간행물 "A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks" 1990
_[43] 간행물 "The ComputerWatch Data Reduction Tool" 1990
_[44] 간행물 "DIDS (Distributed Intrusion Detection System) -- Motivation, Architecture, and An Early Prototype" 1991-10
_[45] 간행물 "A Phased Approach to Network Intrusion Detection" 1991
_[46] 서적 "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response" Intrusion.Net Books, Sparta, New Jersey 1999
_[47] 서적 "Snort IDS and IPS Toolkit" Syngress 2007
_[48] 간행물 "ADAM: Detecting Intrusions by Data Mining" 2001-06-05
_[49] 웹사이트 Intrusion Detection Techniques for Mobile Wireless Networks http://www.cc.gatech[...]
_[50] 문서 Intrusion Detection Techniques for Mobile Wireless Networks http://www.cc.gatech[...]
_[51] 학술지 Towards an Energy-Efficient Anomaly-Based Intrusion Detection Engine for Embedded Systems 2017-01-01
_[52] 서적 2015 IEEE International Symposium on Circuits and Systems (ISCAS) 2015-05-01
_[53] 서적 2014 IEEE Computer Society Annual Symposium on VLSI 2014-07-01
_[54] 웹사이트 Towards an Energy-Efficient Anomaly-Based Intrusion Detection Engine for Embedded Systems https://secplab.ppgi[...]
_[55] 웹사이트 IDS（Intrusion Detection System）とは https://atmarkit.itm[...] ＠IT 2018-10-29
_[56] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[57] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[58] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[59] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[60] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[61] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[62] 문서 佐々木他2014
_[63] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[64] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[65] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[66] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[67] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[68] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[69] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[70] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[71] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[72] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[73] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[74] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[75] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[76] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[77] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[78] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[79] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[80] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[81] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[82] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[83] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[84] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[85] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[86] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[87] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[88] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[89] 문서 NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド
_[90] 웹사이트 Molochフルパケットキャプチャー、セッションログ型 https://molo.ch/ 2020-07-21

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com