[5] IDS와 IPS 이해

IDS와 IPS는 바이러스 백신이 수행하는 탐지 후 차단 기능을 별도로 분리해 구현한 장치라고 할 수 있다. 

 

https://forum.huawei.com/enterprise/en/differences-between-ids-and-ips/thread/484497-867

 

IDS의 이해 (Intrusion detection system)

IDS란 일정한 탐지 규칙에 따라 기존의 공격 유형을 탐지하면 정보를 안전한 공간으로 전환하면서 이동 전화 또는 전자우편 등으로 관리자에게 해당 내용을 즉시 전송하고 공격자에게 경고를 통보하지만 방화벽과 달리 접근 권한 제어 또는 인증 기능이 없는 SW/HW 장비다. IDS를 구현하는 방식에는 네트워크 기반의 IDS 방식과 호스트 기반의 IDS 방식이 있다. 전자는 하드웨어를 통해 침입탐지 기능을 수행한다. LAN 영역 전체 탐지가 가능하고, 자신에게 오는 패킷은 탐지가 불가하다. 후자는 각각의 호스트에 침입 탐지 기능을 탑재하여 스노트와 같은 SW로 구현한다. 내부 공격 탐지가 유리하지만 오직 호스 단위로만 탐지가 가능하다.

 

- 서명 기반 탐지 기법

: 기존의 공격 유형을 ids 엔진에 미리 등록 -> 탐지. 새로운 공격 유형은 탐지 할 수 없지만 정확도가 높다.

 

- 정책 기반 탐지 기법

: 외부로부터 접속이 들어오는 경로를 정해놓고 미허가 경로를 통한 접속을 탐지한다. 

 

-이상 기반 탐지 기법

: 통계적 분석에 따라 일정한 임계값을 설정한 뒤 해당 임계값을 초과하는 접속이 들어올때 탐지하는 기법이다.

 

- 유인 기반 탐지 기법

: 유인 서버에 추적 sw 설치해 공격자의 활동을 감시하는 기법이다. 

 

IPS의 이해 (Intrusion Prevention system)

일정한 차단 규칙에 따라 차단 규칙에 해당하는 공격 유형을 방지한다. IDS와 마찬가지고 IPS에도 네트워크 기반의 IPS 방식과 호스트 기반의 IPS 방식이 있다. IPS는 IDS와 달리 응용 서버 전면에 위치한다. 입출력 패킷을 직접 제어하는 구조이다. 방화벽과 IPS를 동일하다고 간주한다. 방화벽에는 상태 기반 감시 기능이 있어 내부에서 외부로 나갔다 되돌아 오는 리턴 패킷 여부를 추적한다. 상태 기반 감시 기능은 TCP 헤더의 TCP 플래그 항목에 기반해 패킷을 상태 흐름 테이블에 기록하고 외부에서 들어오는 패킷과 비교해 테이블에 없는 패킷은 차단하고 상태 흐름 테이블에 있는 패킷을 허용함으로써 리턴 패킷을 관리한다.

 

 

---

출처: www.kyobobook.co.kr/product/detailViewKor.laf?mallGb=KOR&ejkGb=KOR&barcode=9791161751634&orderClick=SPY