침입 방지 시스템 (IPS) 최정환 남영석 방철규 전인철 조용진

목 차 1. 서론 2. IDS( 침입탐지시스템 ) 의 탐지기술 및 한계 3. IPS( 침입방지시스템 ) 4. IPS 제품동향 및 동작 과정 5. IPS 와 방화벽 & IDS 와의 차별성 6. 결론

1. 서론 운영체제 측면의 보안 네트워크 보안의 필요성 증가 컴퓨팅 환경의 변화 인터넷의 발달 IDS 등장 IPS 등장 실시간 처리 불능

지식수준 1. 서론 ( 계속 ) 새로운 해킹 기술의 등장

2. 침입 탐지 시스템의 탐지기술 및 한계 1.IDS(Intrusion Detection System: IDS) 란 침입 (Intrusion) 이라는 비인가된 사용자의 침입을 탐지하여 시스템 자원을 효과적으로 보호하기 위한 시스템이다.

2. 침입 탐지 시스템의 탐지기술 및 한계 2.IDS(Intrusion Detection System: IDS) 의 분류 사용하는 데이터 소스에 따라 호스트 기반, 네트워크 기반 탐지방식에 따라서는 오용탐지, 비정상 탐지 시스템으로 분류 데이터 소스 기반 단일 호스트 기반의 침입탐지시스템 다중호스트 기반의 침입탐지시스템 네트워크 기반의 침입탐지시스템 침입탐지 모델 기반 비정상 침입탐지시스템 오용 침입탐지방법 미국 COAST 의 침입 탐지 시스템 분류

2. 침입 탐지 시스템의 탐지기술 및 한계 3. IDS 의 기술적 구성요소 1. 정보의 수집 2. 정보 가공 및 축약 3. 침입 분석 및 탐지 4. 보고 및 조치 (Data collection) (Data reduction) (Analysis & detection) (Report & response) 단일 호스트 다중 호스트 네트워크

2. 침입 탐지 시스템의 탐지기술 및 한계 4. 침입탐지 메커니즘 1. 비정상적 행위 탐지 방식 1) 통계적 방법 비정상적 침입의 탐지를 주로 통계적으로 처리 경험적인 자료를 토대로 처리하기 떄문에 정확 하게 탐지 가능

2. 침입 탐지 시스템의 탐지기술 및 한계 4. 침입탐지 메커니즘 1. 비정상적 행위 탐지 방식 2) 예측 가능한 패턴 E1E2E3 E4 E5 95% 5% E1 ~ E5 : Security Events

2. 침입 탐지 시스템의 탐지기술 및 한계 4. 침입탐지 메커니즘 2. 오용 침입 탐지 기술 1) 전문가 시스템 If If_them rule action 수행 Attack ? Yes No

2. 침입 탐지 시스템의 탐지기술 및 한계 4. 침입탐지 메커니즘 2. 오용 침입 탐지 기술 1) 상태 전이 분석 S1 S3 S2 TRUE User create User execute File Standard access

2. 침입 탐지 시스템의 탐지기술 및 한계 5. IDS 의 한계 오탐지 (False positive) 의 문제 미탐지 (Miss detection) 의 문제 실시간 공격을 막을 수 없다는 문제

3. 침입 방지 시스템 (IPS) 침입방지시스템은 다양하고 지능적인 침입 기술에 대해 다양한 방법의 보안 기술을 이용해, 침입이 일 어나기 전에 실시간으로 침입을 막고 알려지지 않은 방식의 침입으로부터 네트워크와 호스트를 보호할 수 있는 시스템을 말한다.

3. 침입 방지 시스템 (IPS) 1. 호스트 기반 IPS 의 기술적 특징 - 커널과 함께 동작해 커널 이벤트를 가로채 처리하는 방식 - 커널과 독립적으로 작동하는 방식

3. 침입 방지 시스템 (IPS) 2. 네트워크 기반 IPS 의 기술적 특징 - 실시간 패킷 처리 - 오탐지를 최소화하는 기술 - 변형 공격과 오용공격의 탐지기술 - 각 상황에 맞는 실시간 반응 기술

4. IPS 제품동향 및 동작 과정 1. 호스트기반 침입방지시스템 국외제품 CA(Computer Associate) 사의 ‘eTrust Access Control’ 아거스시스템즈의 ‘ 핏뿔 ’ 국내제품 시큐브의 ‘ 시큐브 TOS’ 티에스온넷의 ‘ 레드아울 시큐 OS’ 시큐브레인의 ‘ 하이자드 (Hizard)’

4. IPS 제품동향 및 동작 과정 2. 네트워크 기반 침입방지시스템 국외제품 이카디아의 ‘ 이지스 (EziS)’ 탑레이어코리아의 ‘ 어택 미티게이터 IPS’ 넷스크린코리아의 ‘ 넷스크린 IDP-100’ 과 ‘ 넷스크린 IDP-500’ 엔터라시스코리아의 ‘ 드래곤 IPS’ 국내제품 현재 네트워크기반 침입방지시스템 출시를 계획중인 업체는 안철수연구소, 티맥스소프트, KDDS, 윈스테트넷 등의 국산 보안 솔루션 업체들이 있다

인터넷 Firewall IDS Secure OS SCANNER Manager Secure OS 시스템 커널레벨 접근 통제 공격 탐지 및 차단 대응 Firewall 네트워크 레벨 접근 통제 외부 네트워크 공격 차단 IDS 실시간 공격 탐지 실시간 공격 알람 Scanner 주기적 취약성 점검 취약성 정보 알람 ㈜시큐브사의 Secuve TOS

불법침입 차단 과정 Dragon IDS 6.0 엔진자체에 개발한 차단엔진을 탑재 IDS 의 해킹을 탐지, 통보하는 기능에 사전 대응기능과 차단 기능을 추가 해킹 시도 차단 여러 가지 관리 기능을 제공 차단되는 리스트는 별도의 DB 에 저장, 관리자에게 메일을 발 송 ㈜엔터라시스코리아사의 Dragon IPS

5. IPS 와 방화벽 & IDS 와의 차별성 서비스 우회 접근 가능 우회 통과 시 차단 불가능 사용자 인증 취약점 보유 새로운 해킹 기술에 대한 대응 어려움 단순한 탐지 수행 해킹 제어 능력 없음 다양한 침입 기술에 대한 다양한 방법의 보안 기술을 이용한 보호 시스템공격을 탐지하는 것뿐만 아니라 공격을 방어하는 것을 목적 Firewall IDS IPS

6. 결론 현재는 IDS 가 주류, IPS 는 도입되는 시점 현재 기가비트 트래픽을 지원하며 ASIC 기반의 제품 등과 같이 다양한 국내 / 외 제품이 출시 및 개발되고 있다. 향후에는 시스템 및 네트워크에 심각한 피해를 줄 수 있는 다양한 공격에 대해 실시간적으로 탐지 및 차단할 수 있는 침입 방지시스템에 대한 필요성이 더욱 증가할 것

참고 문헌 “ 새로운 보안 패러다임 침입방지시스템을 잡아라,” Network Times, , pp “IPS, 차세대 네트워크 보안 솔루션으로 등극,” on the NET, , pp “ 네트워크 세상의 안전망을 구축하라,” 마이크로소프트웨어, , pp (Snort IDS 웹 사이트 ) Paul E. Proctor, Intrusion Detection Handbook, Prentice 2001 조대일, 송규철, 노병구 역. “ 네트워크 침입탐지와 해킹 분석 핸드북 ”, 인포북, “ 인터넷 정보 보호 “, 영진출판사, 정태명, 서광현, 이동현 공저.