IDS (Intrusion Detection System) 와 IPS (Intrusion Prevention System)

IDS (Intrusion Detection System)

0. 침입 탐지 모델

구분	종류	설명
침입 탐지 모델에 의한 구분	오용탐지 (misuse detection)	이미 알려진 패턴을 이용 -> 침입 탐지  알람이 규칙화 -> 이해하기 쉽고 오탐이 적음  새로운 패턴 탐지X -> 지속적인 관리 요구
	변칙 탐지 (Anomaly Detection)	사용자 패턴 수집 및 분석 -> 통계분석을 이용  새로운 패턴 탐지O -> 관리 용이  오탐 上  사용자의 패턴이 불규칙이면 구현이 어려움
데이터 소스에 따른 구분	호스트기반  침입 탐지	해당 시스템 파일들에 대한 무결성을 점검  네트워크 환경 구애X  시스템 별로 호환성의 문제 발생
	네트워크 기반  침입 탐지	네트워크의 모든 패킷 검사 및 분석  호스트 공격 전에 탐지를 지원  대규모 네트워크를 효과적으로 탐지  콘솔 작업자에 대한 탐지는 불가능함

1. IDS 개요

1) 개요 : 데이터 수집 -> 데이터 필터링 -> 침입 여부 탐지 -> 책임 추적 및 대응 기능

2) 데이터 수집 : 네트워크 패킷, 애플리케이션 로그, 프로세스 정보에 대해 audit

3) 데이터 필터링 처리 : 데이터 가공과 축약, 필터링

4) 분석 및 탐지 : 침입 탐지 엔진 가동 -> 분석 및 탐지가 구체적으로 이루어짐

5) 리포팅과 대응 : 경고를 발생, 리포팅, 실제 대응

2. 용어

1) False Positive : 침입이 아닌데 침입으로 판단하고 탐지하는 경우 

- 세밀하지 않은 정책(rule)을 적용함

- 불필요한 정책을 적용함

2) False Negative : 침입인데 IDS가 탐지하지 못하는 경우

- 패킷 손실이나 IDS을 회피하는 공격

- IDS자체의 불안정성

- 정책이 기술되지 않음

3. IDS의 설치 위치나 목적에 따른 구분

1) 호스트 IDS (HIDS)

- 윈도우, 유닉스시스템, 리눅스 시스템 또는 일반 클라이언트 등에 설치, 운용

- 사용자 계정에 따라 접근을 시도하거나 작업 내용에 대해 기록을 남기고 추적

- 단점 1 : 전체 네트워크에 대한 침입탐지 X

- 단점 2 : OS 취약점이 HIDS에 손상을 줄 수 있음

- 단점 3: 다른 IDS에 비해 많은 비용 초래

	설명
설치위치	네트워크 트래픽 대신에 특정 시스템에서 발생하는 활동을 관찰  -> 컴퓨터(호스트)에 설치
임무	중요한 시스템의 파일 변조 방지나 상황일지의 철저한 검사  시스템 자원 이용 관찰 등의 임무를 가짐  - 핑 스윕 (시스템 동작 여부 판단)  - 포트 스캔 ( 컴퓨터 상에서 동작하는 서비스 판단)
장점	공격에 대해 로그를 남겨 공격의 성공 여부를 결정할 수 있음
단점	공격자에 의해 확인될 수 있고 사용 불가능해 질 수 도 있음  세션에 정의 된 규칙이나 특징에 매칭될 겨웅에만 경보

2) 네트워크 기반 IDS (NIDS)

-독립된 시스템으로 운용되고 tcpdump(snort)도 하나의 IDS라 볼 수 있음

- 호스트 기반의 IDS 보다 감시 영역이 넓어 네트워크 전반을 감시할 수 있다.

- 패킷 필터링 이용 : 프로토 헤더를 풀어 분석하고 감사 데이터를 생성함

- 직접적인 해커 공격에 대한 완벽한 방어가 가능

- IDS 존재를 감출 수 있음

- 단점1 : 공격당한 시스템의 공격에 대한 결과를 알 수 없음

- 단점2 : 암호화된 내용을 검사할 수 없음

	설명
설치위치	전용 작업을 하는 하드웨어 또는 시스템 상에 설치된 소프트웨어 장치
임무	악의 적인 행위를 탐지 하기 위해 네트워크 트래픽을 수집하고 관찰  (포트, 헤더, 스트림)
장점	네트워크에 완전히 숨을 수 있고 공격자는 감시 받고 있는 사실을 알지 못함  하나의 IDS로 여러개의 시스템 트래픽을 감시할 수 있음
단점	사전에 정의된 규칙이나 특징, 서명에 매칭될 경우에만 경고  높은 대역폭, 다른 경로로 인하여 위험한 트래픽을 놓칠 수 있음  공격이 성공적인지 결정X  암호화된 트래픽 검토X

4. 탐지 방법에 따른 구분

1) 오용 탐지 (misuse)

- 비정상적인 행위나 컴퓨터 자원의 사용을 탐지 : 부정사용, 오용 방지

- 이미 발견된, 수집된 공격 패턴을 사전에 입력해 두고 이 패턴에 일치하는 유형이 탐지되면 알려줌

- 장점 : False Negative가 낮고 비교적 효율적

- 단점 1 : 알려진 공격 외의 탐지는 불가능 -> 지속적 업데이트 필요

- 단점 2 : 대량의 데이터 분석에는 부적합하다.

- 단점 3 : 공격순서를 분석하지 못하고 알 수 없다.

2) 이상 탐지 (anomaly)

- 시스템과 응용프로그램의 취약점을 이용하여 공격을 탐지하고 비정상적인 침입을 방지하는 시스템

- 정상적이고 평균적인 상태를 기준으로 함

- 상대적으로 급격한 변화를 일으키거나 확률이 낮은 이벤트가 발생하였을 경우 침입으로 탐지

- 임계치 or 통계 데이터(CPU, 입출력 사용량, 로그인, 파일접속기록)를 이용

- 장점 : 합법적인 사용자로 위장한 공격자를 분석하고 주기적인 변경이나 유지보수가 필요없다.

- 단점1 : 자동화된 대응을 사용한 피해를 막을 수 없다.

- 단점2 : 이벤트의 정확한 발생순서를 제공하지 못한다.

- 단점3 :  False Positive가 높다.

IPS (Intrusion Detection System)

1. 설명 

1)  IDS의 한계점 : 책임 추적성 & 대응이라는 문제에 IDS의 해결책은 없다

2) 침입자의 공격에 역추적하고 침입자의 시스템이나 네트워크를 사용 불가능 하도록 하는 능동 공격의 기능이 추가되고 있음

3) TCP, RST 패킷을 보내 연결을 해제하거나, 라우터나 방화벽을 통해 해당 주소나 사이트, 공격포트를 차단

2. 기능

1) IDS의 단점 해결

- IDS의 오탐(false positive) 및 미탐(false negative)

- 알려진 위주로만 공격 탐지

- 탐지후 실시간으로 차단이 안되는 점

IDS vs IPS

1. IPS (Intrusion Prevention System)

- 네트워크 방화벽 : 패킷의 흐름을 제한

- 시스템 보안 : 버퍼오버플로우의 취약성 발견 및 제거

2. IDS (Intrusion Detection System)

- 침입 행위를 실시간으로 탐지, 감시하여 보고하는 시스템

- 단순 접근, 제어기능을 넘어 침입패턴을 이용하여 네트워크나 시스템의 사용을 실시간으로 모니터링

- 인증되지 못한 사용자의 불법적인 행위(접속, 정보조작, 오용, 남용 등의 시도) 탐지

	IDS	IPS
UDP 공격	기능 없음	패킷 드롭 기능
TCP 공격	세션 차단 기능	세션 드롭 기능
알려진 공격자의 IP 주소	기능 없음	IP 주소 차단

하이브리드 방식

Information source	Adopted algorithms
N-IDS	Signature-based(패턴기반)
	Anomaly detection(행위기반)
H-IDS	Signature-based
	Anomaly detection

이 외에도 하이브리드 방식이 있다. 

 - N-IDS ---(attack)---> H-IDS (대부분의 벤더사는 지원을 안함) 

 - 이 2개를 지원하는 기업은 몇 개 없다. 

 - 그래서 이 2개가 대화하는 방식은 잘 모른다. 

 - ESM, SIEM 벤더가 그 가운데에서 역할을 한다. 

 - 이는 모든 공격을 블록시키는 2가지의 탐지 정확성을 증가시키는 장점이 있다. 

 - 사람을 통한 모니터링 비용 또한 줄일 수 있다. 

 - Snort, suricata는 유명한 IDS이다 (Misuse detection) 

- 많은 유저, 멀티스레딩

 - Bro (anomaly detection)

- HP, IBM, 시만텍, 

 - 많은 제품에서는 misuse 또는 anomaly 탐지 알고리즘을 지원한다. 

 - 하지만 일반적으로 사용자는 anomaly 탐지를 원하지 않는다.

오탐, 미탐

공격                            혼란	True	False
True	True Positive	False negative (미탐)
False	False Positive (오탐)	True Positive

1) False Positive (오탐) : 

 - anomaly detection 이다. 

 - 나의 IDS가 주된 모니터를 한다. 

 - 패킷사이즈 PPS BPS, CPS 같은 것을 모니터하는데.. 

 - 트래픽특성이 바뀌고 그 때 내가 웹사이트 마케팅이 잘된 상황에서

 - 정상적인 유저가 들어오면 괜찮지만 나의 디텍션 알고리즘이 문제가 일어난다면.. 

 - 나는 이 비정상행위에 대해 경우의 수를 두고 에러처리를 한다.

 - 머신러닝, 특성, 리그레션메소드 (regression method) , 이런 비정상적인 탐지..를 포괄한다.

2) False Negative (미탐) :

 

 - 시그니처 데이터베이스 : 모든 알려진 어택은 스트링매치, 헤더 매치, 규칙적인 표현특징

 - 알려지지않은어택만 가능 

 - 새로운 패턴은 시그니처가 없기 때문에 그때만 탐지를 놓치게 된다.

 - Misuse 디텍션은 업데이트를 통해 시그니처를 추가한다. 

3) 요약

- False positive는  일어나서는안된다. 

- 하지만 false negative 는 괜찮다. (업데이트하면 되므로)

- Misuse detection

- 장점 : effective하고 reponsetime 장점이있고

- 단점 : unknown attack에는 약하다는 단점이있다. 유지비용이 지속적으로 든다.

- Anomaly detection

- 장점 : unknown attack에는 막을 수 있다. 

- APT공격에서 공격자가 아무리 오랜시간을 가지고 있더라도 이 방법은 실패할 것이다. 

- 시간이랑은 상관없기 때문에

- 단점 : 

- 높은 false positive

- computing power : 이것은 많은 컴퓨터 전력을 소비한다.

- 하지만 요즘 추세가 바뀌고 있다. 

- 왜냐하면 unknown attack 이 55000 개만큼 매우 새롭고 다양하기 (new & variants) 때문이다.

- 시그니처 업데이트를 생각해보면 다음과 같은 사항 등을 고려해보아야 한다.

1) 업데이트시간

2) IDS 전반적은 성능

3) IO활동

- 이런 것은 주 CPU 파워를 사용할 것이고 

- 업데이트한 뒤에 더 많은 시그니처 및 많은 패턴이 메모리에 올라갈 것이므로 

- 한달만 지나도 메모리가 전반적으로 느려질 것이다.

- 따라서 시그니처 방식의 탐지는 없어지고 있는 추세이다.

- 공격에 대한 성공이 점점 손해비용이 커지므로 false positive는 막은 것에대해 흔적을 남기고 나중에 확인을 한다.

- 하지만 anomaly 디텍션이 문제가 없다는 것을 의미하는 것은 아니다.

- 최근 XXX 회사가 이 사실에 대해 토론했다

- 이 회사는 네트워크 베이스 기반의 포렌식을 원했기에 로컬 트래픽에 대한 패킷을 모두 저장한다면 

- (meta-traffic information(session) IP, traffic size, pps, bps와 같은 정보를 보관할 것이다.)

- 이방식은 패킷을 놓치지 않기 때문에 

- 이 메타정보를 이용해 충분히 autopsy(부검), postmortem(사후분석) 을 할 수 있을 것이다. 

- 결국 모든 트래픽을 저장해놓고 나중에 문제가 생겼을 때 포렌식 함을 의미한다. 

- 추가적으로 새로운 패턴을 찾을 수도 있다.