보안 시스템 II

보안 시스템 II (침입탐지 시스템 IDS / 침입방지 시스템 IPS)

---

01. 침입탐지 시스템 (IDS: Intrusion Detection System)

🔹 개념

• 네트워크나 시스템에서 비정상적인 행위나 공격 시도를 탐지하는 시스템
• 탐지만 가능하며, 자동 차단은 ❌ (→ IPS와 차이)

🔹 주요 기능

• 사용자/시스템 행위 모니터링
• 시스템 설정과 취약성에 대한 감사기록
• 시스템 무결성 평가 (파일 변조 여부 등)
• 알려진 공격 패턴(시그니처) 탐지
• 통계 분석, 비정상 행위 감지

🔹 구성 요소

모니터링부	센서 → 데이터 수집 (로그, 트래픽 등)
분석 및 조치부	(모니터링부에서) 수집된 데이터를 (가공, 축약) 분석 → 침입 여부 판단 후 알림 → 조치
관리부	정책 설정, 전체 IDS 시스템 제어

🔹 IDS의 동작 방식별 분류

응용 기반	애플리케이션계층에서 로그 활용	미세한 행동 탐지	애플리케이션 계층의 취약성으로 무결성 훼손
호스트 기반 (HIDS)	시스템 로그, 프로세스 감시	사용자 추적 가능, 암호화 환경 가능	네트워크 공격은 못 봄 운영체제의 취약성에 의해 무결성 훼손
네트워크 기반 (NIDS)	네트워크 패킷 감시	설치 간단, 운영체제 무관	암호화 트래픽 탐지 불가 호스트상에서 수행되는 행위 탐지 불가
목표 기반	파일/객체 무결성 검사	변조 탐지에 탁월	실시간 탐지 불가
통합형	여러 센서 결합	전방위 탐지 가능	구성 복잡, 표준 부재

🔹 정보 수집 및 분석 시점

일괄처리형	일정 시간마다 배치 분석	자원 적게 사용	실시간 대응 불가
실시간형	즉시 탐지 후 빠른 경고	빠른 대응 가능	리소스 많이 씀, 설정에 따라 허위 경보 발생 가능

🔹 IDS의 분석 방법

시그니처 기반	기존 공격 패턴과 비교	빠르고 정확	새로운 공격 탐지 불가
통계 기반 (비정상 탐지)	정상 행위에서 벗어난 패턴 탐지	알려지지 않은 공격 탐지	오탐 가능성 높음
무결성 기반	파일/디렉토리 변경 감지	변조 여부 정밀 탐지	실시간 대응엔 느림

---

02. 침입방지 시스템 (IPS: Intrusion Prevention System)

🔹 개념

• IDS처럼 공격을 탐지할 뿐 아니라, 즉시 차단까지 수행하는 시스템
• 능동적 보안 시스템

🔹 IPS 분류

HIPS (호스트 기반)	응용 프로그램 보호 (정책, 학습 기반)	커널 내부 또는 외부에서 동작
NIPS (네트워크 기반)	네트워크 단에서 공격 탐지+차단	실시간 차단, 고속 네트워크 대응 가능

---

🔹 IDS vs IPS 요약 비교

기능	탐지만 수행	탐지 + 차단
반응 방식	수동	능동
배치 위치	네트워크 or 호스트 내부	네트워크 중간
목적	경고 제공	공격 차단