STUDY/컴퓨터보안

컴퓨터보안 11.08

연나연 2023. 11. 8. 11:49

차단(방화벽)

IDS(방지시스템)

 

-모니터링부

-분석 및 처리부

-관리부

가 있음

 

 

-모니터링부

(1) 응용기반 : DB,웹서버

(2) 호스트기반 : 특정 시스템에서 발생하는 정보 수집, 운영체제 감시, 감시추정

(3) 목표기반 :  (무결성체크) 프로세스 변형, 파일 변형, 패킷 병형

  [무결성이라는 말이 나오면 해시코드 생각해]

(4) 네트워크 기반 : 네트워크로부터 정보수집을 한다. -스니핑 (무차별모드-지나가는건 다 검사) -> 하드웨어적인 장치 필요

(5) 통합기반 : 응용, 호스트, 네트워크 기반의 센서들을 조합하는 기능 

-센서라는 말이 나오면 하드웨어적인 것.

-여기서 조합은 장비의 호환성을 지켜야하는 것을 말함.

 

-분석 및 처리부  139p

(모니터링부 -> 분석처리부분 넘기는 방식)

수집화 분석 방식 (: 수집에서 분석처리부로 넘기는 방)

(1) 일괄처리 : 모았다가 한꺼번에 보내는 것

    -보안 위협이 낮은 것에 적합하다

    -일정한 시간 단위로 batch방식에 의해 정보를 수집 및 분석

    -이상이 있는지를 주기적으로 분석 (ex. 일주일에 한 번, 야간에만 모니터링)

    -(아무래도 모앗다가 한 번에 보내다보니) 시스템 부하가 적음

    -디스크 공간 많이 소비

(2) 실시간처리 : 연속적인 정보수집과 분석 보고기능 제공

    -공격방어에 빠른 응답을 발생시킴

    -공격에 대하여 다양한 방법으로 실시간 경고 가능 -SMS, 호출기, 이메일

 

<IDS의 분석 방법>

(1) 시그니처 분석 : 알려진 공격, 시스템오용과 관련된 것을 규정한 패턴과 일치하는지 여부

     -벤더(판매처)가 공격하는 알려진 DB공격 패턴 [벤더에 의한 것]

     -고객에 의해 명시된 시그니처 추가될 수 있음. [사용자에 의한 것]

     -벤터는 주기적으로 시그니처 DB의 업데이트 제공

(2) 통계적 분석 : 정상적인 패턴으로부터 그 편차를 찾아내는 것

     -프로파일은 시스템의 정상적인 사용에 대한 다양한 속성을 판정해서 생성한다. 

     -> 관찰된 값이 정상적인 범위에 속하지 않을 경우, 침입 가능성 신호를 발생시킨다

(3) 무결성 분석 : 해시코드 확인

     -파일이나 객체(data,프로세스,로그기록,패킷)의 어떤 측면이 변경되었는지

     -해시 알고리즘 같은 강력한 암호기술 사용

 

-공개키 암호 :  키 2개

-대칭키 암호 :  키 1개

-해시암호 : 암호화의 크기가 항상 동일

        -해시코드는 항상 일정하다

 

<IDS의 분류>

[1] 침입모델 기반 분류

   (1) 비정상 탐지 시스템

   (2) 오용(misuse) 탐지 시스템 : 시그니처 분석 (알려져있는 것과 다른 것)

[2] 데이터소스 기반 분류

   (1) 호스트 기반 침입탐지 시스템 HIDS

:호스트 상에서 발생하는 이벤트를 통해 침입을 탐지

-여러 호스트로부터 수집된 감사자료를 이용할 경우, 다중호스트 기반

장점>

     -정확한 탐지 가능함

     -다양한 대응책 수행할 수 있음

     -암호화 및 스위치 환경에 적합함

     -추가적 하드웨어 필요없음

단점>

     -다양한 OS 지원

     -시스템에 추가적인 부하가 생김

     -구현이 용이하지 않음

   (2) 네트워크 기반 침입탐지 시스템 NIDS 

:네트워크 패킷 분석하여 침입을 탐지한다. (패킷분석)

-시그니처 기반의 오용탐지가 일반적, 통계적 분석, 기계학습(반복학습), 딥러닝(병렬처리)

이런 것들의 기반에서도 비정상(outlier) 탐지 연구도 하고있다. 

장점>

      -초기 구축 비용이 저렴함

 

      -[nids에 위치할 수 있는 곳 /nids의 설치 위치]

       1) 라우터 앞, 뒤

       2) 방화벽 뒤

       3) 내부 네트워크

       4) dmz (subnet)

 

      -[ids의 개발 동향]

        1) 비정상적 탐지기법 자체가 가질 수 있는 (통계적 분석)

        2) 높은 오분류율을 갖추기 위해 노력

        3) 탐지할 수 있으나 방어할 수 없는 침임탐지시스템 (ids)의 한계로 자동화된 대응이 가능한 침입 방지 시스템에 대한 연구가 활발하다.

        4) 기계학습, 데이터 마이닝 등 연구분야에서 지속적으로 연구

     firewall(차단) - detection(탐지) - prevention(방지)

 

   (3) 하이브리드 기반 침임탐지 시스템

 

<침입방지시스템 intrusion provention system>

:탐지하고 자동으로 대응작업을 수행하여 행위를 중지시키는 보안 종속성

-수동적인 침입탐지시스템 과는 대비되는 능동적 동작

 

<IPS분류> -> 데이터기반

[1] 호스트기반 HIPS 

: 일반적으로 소프트웨어 제품, 방화벽 규칙집합과 정책이나 정상 , 비정상 접근에 대한 학습을 통해 응용 프로그램 보호

-커널과 함께 동작하는 방식

-커널에 독립적으로 동작하는 방식

[2] 네트워크기반 NIPS

:침입방지능력과 빠른대응을 위하여 네트워크 상에 위치한다.

-세션기반탐지를 지원할 수 있는 시스템

-시그니처, 비정상행위탐지 등 다양한 종류의 방지방법을 통하여 악의적인 세션을 차단한다.

-초고속 환경(Gbps)이상에서도 적용가능, 성능개선이 이루어지고 있다.