IDS vs. IPS

IPS : Intrusion Prevention System : 이상 방지 시스템

• 다양한 방법의 보안 기술을 이용하여 침입이 일어나기전 실시간으로 예방하고, 유해 트래픽을 차단하는 차세대 능동형 보안솔루션. 
• 예방하고 사전에 조치를 취하는 기술.
• 트래픽 유통에 직접 관여.
• 정책, 규칙 DB 기반의 비정상 행위 탐지
• (+) 실시간 즉각 대응 가능. 세션 기반 탐지 가능
• (-) 오탐 현상 발생 가능. 고가의 장비
  
  
• 설치 위치에 따른 분류
• 호스트; HIPS
• 네트워크 ; NIPS - 방화벽처럼 네트워크에 인라인 모드로 설치
  
  
• 공격 패턴 인지 방식에 따른 분류
• Signature-based IPS [지식기반]  M.D
• 각각의 공격에 대하여 정확한 signature을 정의하고 해당 공격 패턴에 매칭이 되어야만 차단을 시행
• 알려지지 않은 공격의 경우 정확한 Signature List가 업데이트 되어있지 않으면 차단 불가. 오탐지 가능성 적음
• Heuristics-based IPS [행위기반] A.D
• Anomaly Detection/Prevention 이라고도 함
• 알려지지 않은 공격을 수집하고 해당 정보를 이용하여 오탐을 줄이고 능동적으로 대처하는 방식

IDS : Intrusion Detection System : 이상 탐지 시스템

• 침입여부 감지
• 로그, signature 기반 패턴 매칭
• (+) 실시간 탐지. 사후 분석 대응기술
• (-) 변형된 패턴에 대한 탐지 어려움
  
  
• 설치 위치에 따른 분류
• 호스트 ; HIDS
• 설치된 운영체제 내부 시스템의 여러 가지 상태를 모니터링하다가 특정 패턴의 행위가 일어나거나 비정상적인 상황이 발생하면 경고 발생생
• 침입 탐지를 위해 주로 사용하는 대상 ; 시스템호출(system call), 시스템 로그(Log), 그리고 설정 또는 파일의 무결성(Integrity) 등
• 네트워크 ; NIDS
• 네트워크 특정지점에서 여러 호스트를 대상으로 침입 탐지
• 호스트의 운영체제가 하드웨어에 관계없이 동일하게 분석할 수 있는 패킷을 분석대상으로 삼음
• 스니핑(Sniffing) 기술을 이용하여, 호스트와 관계없이 패킷 분석 및 침입 탐지
• cf. NNID (Network Node Intrusion Detection) : 네트워크 노드 침입탐지
• 호스트 내부에서 자신이 설치된 호스트의 침입만 탐지하지만, NIDS와 겅의 동일한 방식으로 분석

• 침입 탐지 방식에 따른 분류
  : 이상 탐지 기반의 침입 탐지 시스템과 오용 탐지 기반의 침입 탐지 시스템 비교

오용 탐지 기반의 침입 탐지 시스템 (Misuse Detection)

• 알려져있는 공격행위로 부터 특정 시그니쳐를 추출해내고, 분석 대상에 그런 시그니처가 존재하는지를 확인하여, 존재할 경우 침입임을 판단하는 방식
• 알려져 있는 공격에 대한 시그니처(패턴) 목록을 유지해야하고, 이 목록을 얼마나 최신의 버전으로 유지하느냐에 따라 새로 나온 공격의 탐지율이 달라지게 된다. 
• 바이러스 백신이 알려진 바이러스의 시그니처를 유지하고, 그 시그니처를 기반으로 바이러스를 탐지하는 것과 유사한 방식
• 이상 탐지 방식에 비해 False Positive는 높지만, 패턴 목록에 없는 공격을 탐지하지 못하는 False Negative가 높다.

이상(비정상) 탐지 기반의 침입 탐지 시스템 (Anomaly Detection)

• 기존 네트워크 사용상황을 기반으로 정상적인 행위의 범위를 정의해두고, 이러한 정상적인 행위에 어긋나는 모든 행위를 비정상행위로 규정하고 탐지한다. 비정상행위 탐지방식은 정상적인 행위의 범위를 정의하는 것이 가장 중요하면서도 모호한데, 가장 쉽게 접근할 수 있는 방법이 통계적인 방법에 기반하는 것이다.
• 일정 시간 네트워크 상황을 모니터링하면서, 모니터링하는 네트워크의 사용상황을 통계적으로 분석하여, 그러한 통계에 비해 비정상적인 상황이 나타날경우를 탐지하는 방식.