IDS/IPS

IDS(Intrusion Detection System: 침입탐지시스템)이란 외부에서 내부로 들어오는 패킷이 정상인지 아닌지의 여부를 탐지하는 솔루션을 일컫는다. IPS(Intrusion Protection System: 침입차단시스템)는 IDS에 차단기능을 추가한 것을 말한다. 

IDS/IPS는 내부 네트워크 구간에 들어가려는 모든 패킷을 탐지할 수 있는 경로에 위치한다. 특히 IPS는 기본 방화벽 기술의 특정 유형의 네트워크 트래픽을 식별해 차단하는 방식에서 나아가, 서명 추적과 이상 감지 등 더 세부적인 보안을 이용해 네트워크 진입의 위협을 방지한다. 이러한 특징은 IPS 기능이 최근 표준 방화벽 기능으로 자리잡게 했고, 때문에 방화벽의 위치에 자리하기도 한다.

 

IDS와 IPS는 설치구조의 유형에 따라 '미러(mirror)방식'과 '인라인(inline)방식'으로 구분할 수 있다.

• 미러(mirror) 방식 : IDS는 원본 트래픽을 손실이나 변조없이 복사해주는 TAP이라는 장치로 트래픽을 검사하는 구조이다. TAP은 IDS에 패킷을 전달하고, IDS는 트래픽을 검사한 후에 추가적인 대응을 실행한다. 단 이 방식을 사용하는 경우, IPS를 배치하더라도 차단이 불가능하다.

• 인라인(inline) 방식 : IPS는 탐지를 수행하는 모듈이 패킷을 검사하여 패턴을 분석한 뒤 비정상적이거나 악성이라고 판단되는 패킷을 차단하는 구조이다. IPS는 예측차단이 가능해, 악성코드와 유사한 동작을 보이면 해당 패킷을 차단한다. 이 방식은 네트워크 통로에 직접 IPS를 배치하여 패킷을 직접적으로 관리하는 방식이다. 

 

IDS는 사람이 침입의 패턴을 분석해서 해당 패턴들을 유지하고, 앞서 유지된 패턴과 비교해서 침입으로 판단한다. 반면 IPS는 인공지능이 침입의 패턴을 학습을 통해 얻고, 이 패턴과 비교해서 침입여부를 판단한다는 특징이 있다. 따라서 IDS는 패턴에 없는 새로운 공격은 탐지가 불가능하다는 단점이 있다. 또, IPS는 패턴 자체는 업데이트가 되기 때문에 새로운 공격을 탐지를 할 수는 있다. 그러나 애초에 학습 자체가 잘못되는 경우, 침입이 아닌데 침입이라고 오탐할 가능성이 존재한다. 

 

 

참조

https://run-it.tistory.com/47
http://www.ciokorea.com/news/40045
https://starbirds.tistory.com/25

cf. 'layer3' : https://kkamagistory.tistory.com/205