[정보보안기사] 27. IDS/IPS

1. IDS (Intrusion Detection System, 침입탐지 시스템)

1) IDS 개념

외부 침입에 대한 정보를 수집하고 분석하여 침입 활동을 탐지해 이에 대응하도록 보안 담당자에게 통보하는 기능을 수행하는 네트워크 보안 시스템이다,

 

2) IDS 장점

① 해킹에 대하여 침입차단시스템(Firewall)보다 적극적인 방어가 가능하다.

② 내부 사용자의 오·남용 탐지 및 방어가 가능하다.

③ 해킹사고 발생 시 어느 정도의 근원지 추적이 가능하다.

 

3) IDS 단점

① 대규모 네트워크에 사용하기 어렵다.

② 관리 및 운영이 어렵다.

③ 새로운 침입 기법에 대한 즉각적인 대응이 어렵다. (시그니처 기반 탐지가 대부분이다.)

④ 보안사고에 대한 근본적인 해결책은 제시되지 못한다.

 

4) IDS 실행 단계

데이터 수집 → 데이터 가공 및 축약 → 침입 분석 및 탐지 → 보고 및 대응

 

① 데이터 수집: 탐지 대상(시스템 사용내역, 패킷)으로부터 생성되는 데이터를 수집하는 감사 데이터 수집한다.

② 데이터 가공 및 축약: 수집된 감사 데이터를 침입판정이 가능하도록 의미 있는 정보로 전환한다.

③ 침입 분석 및 탐지: 비정상적 행위 탐지 기법(비정상적인 행위), 오용 탐지 기법(취약점 버그), 하이브리드 탐지 기법을 이용한다.

④ 보고 및 대응: 침입으로 판정된 경우 이에 대한 적절한 대응을 자동으로 취하거나 보안 관리자에게 알려 조치한다.

 

2. IDS의 종류

1) 탐지방법에 의한 분류

1.1) 지식기반 침입탐지(요용탐지)

시스템 로그, 네트워크 입력정보,알려진 침입방법, 비정상적인 행위 패턴 등의 특징을 비교하여 탐지한다.

기존의 침입방법을 데이터베이스에 저장해 두었다가사용자 행동 패턴이 기존의 침입 패턴(시그니처)과 일치하거나 유사한 경우에 침입이라고 판단한다.

새로운 공격이나 침입 방법이 출현하였을 경우에는 그에 맞는 공격 패턴을 생성하여 추가한다. (패턴 업데이트)

 

장점

① 오탐률(False Positive)이 낮다.

② 전문가 시스템(추론기반 지식 베이스)이용한다.

③ 트로이목마, 백도어 공격 탐지가 가능하다.

 

단점

① 새로운 공격탐지를 위해 지속적인 공격패턴 갱신 필요하다.

② 패턴에 없는 새로운 공격에 대해서는 탐지가 불가능하다.

 

예시

전문가 시스템: 각 공격을 규칙 집합으로 관리하고 규칙기반 언어 사용

상태 전이 모델: 공격 패턴에 따른 시스템의 상태를 상태 전이도로 표현하고 발생하는 사건에 대해 시스템 상태 변화를 계속 추적하여 침입 상태로 전이 되었는지 확인한다.

패턴 매칭: 알려진 공격을 패턴 시나리오로 저장한 후 발생하는 사건들의 패턴을 저장된 시나리오와 비교한다.

 

1.2) 행위기반 침입탐지 (비정상 행위 탐지, 통계적 변형 탐지, 이상 탐지)

관찰한 사건들을 정상적인 행위에 대한 정의(프로파일)들과 비교하여 심각한 수준의 일탈 행위를 식별하는 과정이다.

정량적인 분석, 통계적 분석을 사용한다.

형태 관찰, 프로파일 생성, 프로파일 기반으로 이상 여부를 확인한다.

I/O사용량, 로그인 횟수, 패킷량, 사용자별 시스템 자원 사용 패턴 등을 예로 들 수 있다.

 

장점

인공지능 알고리즘 사용으로 스스로 판단하여 수작업의 패턴 업데이트가 불필요하다.

오용 탐지 기법보다 데이터 베이스 관리가 용이하고 알려지지 않은 공격(Zero-Day Attack)도 탐지 가능하다.

침입 이외의시스템 운용상의 문제점도 발견할 수 있다. (내부 정보유출)

 

단점

오탐률(False Positive)이 높다.

정상과 비정상 구분을 위한임계치 설정이 어렵다.

 

예시

통계적 분석 방법: 사용자 또는 시스템 행위에 대한 이전 정보를 기반으로 정상행위로 판단되는 통계적인 프로파일을 생성하고 주기적으로 관리한다.

신경망 모델: 사용자의 행위 정보를 학습한 후 입력된 사건 정보를 학습된 사용자 행위 정보와 비교하여 비정상적인 행위를 탐지한다.

예측 가능한 패턴 생성: 기존의 정상적인 패턴과 현재 사건 간 상호작용을 분석한 후 패턴 범위를 벗어났을 경우 비정상적인 행위로 판단한다.

 

그이외에 컴퓨터 면역학, 데이터 마이닝, HMM(Hidden Markov Models) 등이 있다.

 

2) 대응 방법에 따른 분류

2.1) 수동적 대응 방법

대량의 정보를 수집하는 형태를 취하거나 필요한 경우에 권한을 가진 사용자들에게 보다 엄격한 조치를 취할 수 있도록 통보하는 형태이다. (대부분의 IDS가 사용)

 

2.2) 능동적 대응 방법

침입에 대해 가장 빨리 실행할 수 있는 행동으로 침입에 의한 손실을 줄일 수 있게 한다.

신중한 고려와 정확한 검증이 없다면 혼란을 방생시키거나 서비스를 제공할 수 없는 오경보가 발생한다.

 

3) 데이터 수입원에 의한 분류

3.1) 네트워크 기반 IDS (Network-based IDS)

네트워크를 통해 전송되는 정보(패킷 헤더, 데이터 및 트래픽 양, 응용프로그램 로그)를 분석하여 침입여부를 판단한다.

NIDS는 감지기가 promisecuous mode에서 동작하는 네트워크 인터페이스에 설치되어있다.

 

 장점

트래픽을 몇몇 위치에만 설치 하므로초기 구축 비용이 저렴하다.

운영체제에 독립적이므로 구현 및 관리가 쉽다.

캡처된 트래픽에 대해 침입자가 제거하기가 어렵다.

H-IDS가 탐지하지 못하는 네트워크 스캐닝 공격을 탐지해 낼 수 있다.

 

단점

암호화된 패킷을 분석할 수 없다.

고속 네트워크 환경에서는 패킷 손실율이 많아 탐지율이 떨어진다.

호스트 상에서 수행되는 세부 행위에 대해 탐지할 수 없다.

 

3.2) 호스트 기반 IDS (Host-Based IDS)

호스트 시스템으로부터 생성되고 수집된 감사 자료(시스템 이벤트)를 침입 탐지에 사용하는 시스템이다.

여러 호스트로 부터 수집된 감사 자료를 이용할 경우 다중 호스트 기반이라고 불린다.

 

장점

정확한 탐지 가능, 다양한 대응책을 수행할 수 있다.

암호화 및 스위칭 환경에 적합하다.

추가적인 하드웨어가 필요하지 않다.

트로이 목마, 백도어, 내부 사용자에 의한 공격 탐지가 가능하다.

 

단점

각각의 시스템마다 설치해야 하므로 다양한 OS를 지원해야 한다.

HIDS로 인해 추가적인 시스템 부하 발생한다.(DoS 공격으로 인해 IDS 무력화 가능)

구현이 용이하지 않다.

 

4) 탐지 시점에 따른 분류

4.1) 사후 분석 시스템

수집된 감사 데이터를 정해진 시간에만 분석하여 침입 여부를 판단하는 시스템이다.

고전적인 형태로 즉시 대응이 어렵다.

대표적으로 사후 감사추적에 의한 분석기술이 존재한다.

 

4.2) 실시간 탐지 시스템

실시간 정보수집과 동시에 감사 데이터 발생과 팀입 탐지가 이루어지고 이에 대응하는 대비책을 실행한다.

대표적으로 실시간 패킷 분석 기술, 실시간 행위 감시 및 분석기술이 존재한다.

 

3. IDS의 위치

1)NIDS의 위치

① 패킷이 라우터로 들어오기 전: 모든 공격을 탐지할 수 있지만 네트워크에 치명적인 공격에는 대처가 어렵다.

② 라우터 뒤: 패킷 필터링을 거친 후의 패킷 탐지, 좀 더 강력한 의지가 있는 공격자 탐지 가능하다.

③ 방화벽 뒤: 만약 침입 탐지 시스템을 설치한다면 이곳에 설치하는게 가장 바람직하다.

④ 내부 네트워크: 방화벽은 침입을 일차적으로 차단하지만 내부에 대해서는 무방비 상태이다.

⑤ DMZ: 아주 능력이 뛰어난 외부 공격자와 내부 공격자에 의한 중요 데이터 손실이나 서비스 중단을 막기 위함이다.

 

설치 우선순위: ③ → ⑤ →  ④ → ② → ① 

 

2) HIDS 위치

HIDS는 특별한 위치는 없으며 보통 중요한 시스템에 설치 (웹서버, 관리 비용이 많이 듦)

 

4. IDS 응용

1) 긍정오류(false positives)와 부정 오류(false negatives)

침입자의 행동이 합법적인 사용자의 전형적인 행동과 다르기는 하지만 상당히 겹치는 부분이 존재한다.

침입 탐지를 실제에 적용할 때에는 절충과 기술의 요소를 적절히 사용하여 침입자를 판단해야한다.

 

긍정오류: 합법적인 사용자를 침입자로 판단 (침입자의 행동을 높게 잡았을 경우)

부정오류: 침입자를 합법적인 사용자로 판단 (침입자의 행동을 좁게 잡았을 경우)

 

 

stealth mode: 네트워크 감시용, 일반용 두개의 네트워크 인터페이스를 두고 네트워크 감시용 인터페이스는 외부로 어떠한 패킷도 내보내지 않는다. (외부에서 내 컴퓨터 정보를 알 수 없다.)

 

2) 허니팟 (Honey Pot)

네트워크상에 희생양 역할로 구성된 컴퓨터이다.

잠재적 공격자에 대한 조기 경보 제공, 보안 전략의 결점 파악, 조직 전체의 보안의식 향상과 같은 전반적인 보안 메커니즘을 향상시킨다.

실제로 자료를 가진 호스트인 것처럼 행동하면서 해커, 악의적인 내부 사용자들로부터 침해 당함으로써 그들의 행동을 분석한다.

 

허니넷(Honey Net): 다수의 허니팟으로 구성된 네트워크

 

 

2.1) 설계 목표

중요 시스템에 접근하는 공격자를 허니팟을 통해 다른 방향으로 돌린다. (함정)

공격자의 동작에 관한 정보를 수집한다.

관리자가 반응할 수 있도록 공격자로 하여금 시스템에 충분히 오랜 시간 머무르도록 유도한다.

 

2.2) 특징

제로데이 공격을 사전에 탐지할 수 있는 예방통제 기술이다.

외부로부터 공격을 허니팟으로 유인하여 공격으로 인한 시스템 논리적인 파괴 및 손실 방지할 수 있다.

 

구분	유인 (Enticement)	함정 (Entrapment)
대상	시스템에 허가되지 않은 접근을 시도한 책임자	침입의 의도가 없는 사용자
목적	침입의 흔적을 증거로 남기기위한 목적	범죄를 유발할 목적
합법여부	합법, 윤리적	불법, 비윤리적
기타	시스템에 충분히 오랜 시간 머무르도록 유도	의사가 없던 사람에게 범죄를 저지르도록 이끄는것

 

2.3) 단점

자신에게 오는 패킷만 수집하므로 네트워크 전반에 대한 침입정보를 분석할 수 없다.

공격자가 알아차릴 경우 허니팟을 우회하거나 마비시키는 공격이 가능하다.

 

5. 스노트 (Snort)

1) 스노트 개념

실시간 트래핏 분석, 프로토콜 분석, 내용검색/매칭, 침입탐지 룰에 의거하여 오버플로우, 포트스캔, CGI공격, OS확인 시도 등의 다양한 공격과 스캔을 탐지할 수 있음

 

헤더 부분: 처리방식, 프로토콜, IP 주소, 포트번호 등 처리할 패킷을 판단하는 기준을 명시

바디 부분: alert 메시지, 패킷 데이터를 조사하기 위한 내용을 기술

 

2) 룰 헤더 형식

alert 액션으로 탐지 되었을 경우 alert를 발생 시키고 패킷에 로그를 남긴다.

모든 출발지 IP, 출발지 포트에서 목적지 IP 192.168.0.1/24 대역의 80번 포트인 패킷을 탐지

action	protocol	So.IP	So.Port	destination	De.IP	De.Port
alert	tcp	any	any	->	192.168.0.1/24	80

 

3) 룰 헤더 필드

Action: 룰 매칭시 처리 방법 (alert, log, pass, activate, dynamic, drop, reject, sdrop)

IP Address: 출발지, 목적지 IP(!10.10.10.0/24 (Network), 11.11.11.11 (Host), any)

Port: 1:1023(1~1023) :1024:(~1024) 1024::(1024~)

Direction Operation(방향 지시자): ->(단방향), <>(양방향)

 

4) 주요 룰 바디 설정

msg: alert이나 로그 출력 시 이벤트명으로 사용

content: 패킷 payload 내부를 검색하는 문자열

offset: content로 지정한 문자열의 검색 시작 오프셋

depth: offset로부터 검사할 바이트 수 지정

nocase: 대소문자 구분하지 않음

sid: 룰을 식별하기 위한 식별자(~100: 예약, 100~100만  www.snort.org에서 배포 룰, 100만~: 커스텀 룰)

flow: TCP계층의 reasssembly시 함께 동작 (established, stateless)

rev: rule 버전번호로 수정 횟수를 표기

 

5) snort 룰 예시

21번 포트(FTP)로 접속 할때 root 계정의 로그인 시 요청 데이터에 포함되는 USER root문자열을 검사

alert tcp any any -> 10.10.10.0/24 21 (msg: "FTP root user Access"; contents: "User Root; nocase; sid: 100100;)

 

 

NULL 패킷 탐지 flages 옵션을 통해 TCP 헤더 제어 플래그가 모두 설정되지 않은 패킷을 탐지

alert tcp any any -> 10.10.10.0/24 21 (msg: "NULL Scan Detect"; flags: !UAPRSF; sid: 100100;)

 

6. 침입방지시스템 (IPS)

1) IPS 개념

침입을 탐지했을 경우 실시간으로 침입을 막음(예방적이고 사전에 조치를 취하는 기술)

방화벽, IDS, Secure-OS 등의 보안기술에 기반을 둠

취약점을 능동적으로 사전에 보완하고 윔이나 버퍼 오버플로우, 특히 비정상적인 트래픽, 제로데이 공격까지 차단

 

2) IPS의 필요성

지금은 방화벽과 IDS 만으로는 속도 때문에 해킹이나 바이러스, 윔에 대한 공격을 막을 수 없음

단순한 네트워크단에서 탐지를 제공할 수 없는 각종 서버를 위해 알려지지 않은 공격까지도 방어할 수 있는 실시간 침입방지시스템으로 OS 차원에서 실시간 방어와 탐지 기능을 제공

 

구분	Firewall	IDS	IPS
목적	접근통제 및 인가	침입 여부의 감지	침입 이전의 방지
패킷 차단	O	X	O
패킷 내용 분석	X	O	O
오용 탐지	X	O	O
오용 차단	X	X	O
이상 탐지	X	O	O
이상 차단	X	X	O
장점	엄격한 접근 통제 인가된 트래픽 허용	실시간 탐지 사후분석 대응기술	실시간 즉각 대응 세션 기반 탐지 가능
단점	내부자 공격 취약 네트워크 병목현상	변형된 패턴에 대해서는 탐지 어려움	오탐 현생 발생 가능 장비 고가

 

FDS(Fraud Detection System): 은행 사기 거래 방지 시스템으로 전자금융 거래에 사용되는 단말기 정보, 접속 정보, 거래 내용을 종합적으로 분석하여 의심거래를 탐지하고 이상 금융거래를 차단하는 시스템을 의미한다. 해당 시스템은 행위기반 탐지 통제와 관련이 있다.