0. 개요
네트워크 보안 - Firewall 에서는 네트워크 방화벽(packet filter, circuit gateway, application proxy)에 대해 다뤘다. 이번 게시글에서는 또 다른 네트워크 보안 모니터링 시스템(IDS)의 동작 방식에 대해 기술
1. Basic Questions on Intrusion Detection
- firewall과 마찮가지로 네트워크 보안에서 공격으로 보이는 것을 조기에 감지하고 차단하는 것이 목표
① Who is likey intruder?
② What do intruders do?
누가, 그리고 어떤 공격을 수행할 지에 대해 모르는 상태에서 공격을 감지해야함
2. IDS
Intrusion Detection system (침입 감지 시스템)
: 네트워크 모니터링을 수행하며, 탐지 시그니처와 행위 기반 탐색을 통해 침입을 감지
1) Signs of an attack
- botnet control에 주로 사용되는 IRC 채널을 사용하거나, 알려진 bad IP address를 사용하거나, 알려진 bad DNS name을 사용하는 경우
- packet with forged source address
- spam coming from machine
2) How to detect intrusions?
① misuse detection (오용감지)
: models the likey behavior of an intruder
② anomaly detection (이상감지)
: looks for anomalous behavior in the absence of a clear model
-
Advantages of anomaly detection
⒜ 알려지지 않은 공격을 감지할 수 있음 -
Disadvantages of anomaly detection
⒜ 단독으로 사용하기에 적합하지 않음
⒝ effectiveness를 증명하기에 충분한 proven record가 없음
⒞ 'unusual'은 알아차릴 수 있어도 이것이 어떤 공격을 수행하려는 건지는 알아차리기 힘듬
※ What is Difference?
Anomaly Detection은 정상 동작에서 벗어난 이상을 감지하여 침입을 식별하는 방법이고, Misuse Detection은 알려진 악성 행위나 공격 패턴에 대한 시그니처를 사용하여 침입을 탐지하는 방법
※ Firewall
방화벽은 막는 것이 핵심이라면 IDS는 나아가 침입의 징후와 손상 등을 세부적으로 판단
