침입 탐지 시스템 (IDS)은 네트워크 트래픽을 모니터링하고 의심스러운 활동을 모니터링하고 시스템 또는 네트워크 관리자에게 경고합니다. 경우에 따라 IDS는 사용자 또는 원본 IP 주소 가 네트워크에 액세스하지 못하도록 차단하는 등의 조치를 취하여 비정상적이거나 악의적 인 트래픽에 응답 할 수도 있습니다.
IDS는 다양한 "맛"을 가지고 있으며 의심스러운 트래픽을 여러 가지 방법으로 탐지한다는 목표에 접근합니다. 네트워크 기반 (NIDS) 및 호스트 기반 (HIDS) 침입 탐지 시스템이 있습니다. 안티 바이러스 소프트웨어가 일반적으로 맬웨어를 탐지하고 보호하는 방식과 유사한 알려진 위협의 특정 서명을 찾는 것을 기반으로 탐지하는 IDS가 있으며 트래픽 패턴을 기준선과 비교하고 예외를 찾는 것을 기반으로 탐지하는 IDS가 있습니다. 단순히 모니터링하고 경고하는 IDS가 있으며 탐지 된 위협에 대응하여 조치 또는 조치를 수행하는 IDS가 있습니다. 우리는 이들 각각을 간단히 다룰 것입니다.
NIDS
네트워크 침입 탐지 시스템은 네트워크 내의 모든 장치와주고받는 트래픽을 모니터링하기 위해 네트워크 내의 전략 지점에 배치됩니다. 이상적으로는 모든 인바운드 및 아웃 바운드 트래픽을 검사하지만, 그렇게하면 네트워크의 전반적인 속도를 저하시키는 병목 현상이 발생할 수 있습니다.
HIDS
호스트 침입 탐지 시스템 은 네트워크상의 개별 호스트 또는 장치에서 실행됩니다. HIDS는 장치의 인바운드 및 아웃 바운드 패킷 만 모니터링하고 의심스러운 활동이 감지 된 사용자 또는 관리자에게 경고합니다
서명 기반
서명 기반 IDS는 네트워크상의 패킷을 모니터하고 알려진 악의적 인 위협의 서명 또는 속성 데이터베이스와 비교합니다. 이는 대부분의 바이러스 백신 소프트웨어가 맬웨어를 탐지하는 방식과 유사합니다. 문제는 야생에서 발견 된 새로운 위협과 IDS에 적용되는 위협을 탐지하기위한 서명 간의 지연 일 것입니다. 이 지연 시간 동안 IDS는 새로운 위협을 탐지하지 못합니다.
변형 기반
비정상 기반 IDS는 네트워크 트래픽을 모니터링하고 설정된 기준선과 비교합니다. 기준선은 일반적으로 어떤 종류의 대역폭이 사용되는지, 어떤 프로토콜이 사용되는지, 포트와 장치가 일반적으로 서로 연결되는지, 트래픽이 비정상적으로 감지 될 때 관리자 또는 사용자에게 경고하는 등의 네트워크에 대해 "정상적인" 또는 기준선과 유의하게 다르다.
패시브 IDS
수동 IDS는 단순히 감지하고 경고합니다. 의심스러운 트래픽이나 악의적 인 트래픽이 탐지되면 경보가 생성되어 관리자 나 사용자에게 전송되며 사용자는 행동을 차단하거나 어떤 방식 으로든 대응할 수 있습니다.
반응 IDS
반응 형 IDS는 의심스러운 트래픽이나 악의적 인 트래픽을 탐지하고 관리자에게 경고하지만 위협에 대응하기 위해 미리 정의 된 사전 대응 조치를 취할 것입니다. 일반적으로 이것은 원본 IP 주소 또는 사용자로부터의 추가 네트워크 트래픽을 차단하는 것을 의미합니다.
가장 잘 알려지고 널리 사용되는 침입 탐지 시스템 중 하나는 자유롭게 사용할 수있는 오픈 소스 인 Snort입니다. Linux 및 Windows를 포함한 다양한 플랫폼 및 운영 체제에서 사용할 수 있습니다. Snort는 크고 충성도가 높으며 인터넷에서 사용할 수있는 많은 리소스가 있으며 최신 위협을 탐지하기 위해 구현할 서명을 얻을 수 있습니다. 다른 프리웨어 침입 탐지 응용 프로그램의 경우 무료 침입 탐지 소프트웨어를 방문 할 수 있습니다.
방화벽과 IDS 사이에는 미세한 선이 있습니다. 또한 IPS - Intrusion Prevention System 이라는 기술이 있습니다. IPS는 본질적으로 네트워크 수준과 애플리케이션 수준 필터링을 반응 형 IDS와 결합하여 네트워크를 사전 예방 적으로 보호하는 방화벽입니다. IDS와 IPS는 방화벽으로 시간이 갈수록 서로 더 많은 속성을 사용하고 더 많은 부분을 흐리게 만듭니다.
기본적으로 방화벽은 경계 방어의 첫 번째 줄입니다. 모범 사례 에서는 들어오는 트래픽을 모두 거부하도록 방화벽을 명시 적으로 구성한 다음 필요한 경우 구멍을 열 것을 권장합니다. 웹 사이트를 호스팅하려면 포트 80을 열어야하고 FTP 파일 서버 를 호스팅하려면 포트 21을 열어야 합니다 . 이러한 각 구멍은 한 가지 관점에서 필요할 수도 있지만, 악의적 인 트래픽이 방화벽으로 막히지 않고 네트워크에 진입 할 수있는 가능성을 나타냅니다.
IDS는 전체 네트워크에서 NIDS를 구현하든, 특정 장치의 HIDS를 구현하든 관계없이 인바운드 및 아웃 바운드 트래픽을 모니터링하고 방화벽을 우회하여 의심 스럽거나 악의적 인 트래픽 을 식별합니다 네트워크 내부에서도 발생할 수 있습니다.
IDS는 네트워크를 사전에 모니터링하고 악의적 인 활동으로부터 네트워크를 보호 할 수있는 훌륭한 도구 일 수 있지만 잘못된 경보를내는 경향이 있습니다. 구현 한 거의 모든 IDS 솔루션을 통해 처음 설치되면 "조정"해야합니다. 네트워크에서 정상적인 트래픽과 악의적 인 트래픽을 인식하도록 IDS를 올바르게 구성해야합니다. 또는 IDS 경고에 책임이있는 관리자는 경고의 의미와 효과적인 대응 방법을 이해해야합니다.