비디오: 박승철의정보보호론제32-22강 침입탐지및방지시스템 2024
네트워크 관리자는 침입 탐지 시스템 (IDS) 침입 방지 시스템 (IPS)을 사용하여 네트워크 전반의 보안 전략을 제공합니다. IDS와 IPS는 비슷한 옵션을 제공합니다. 실제로 IPS 시스템은 침입에 사용되는 것으로 간주되는 장치 또는 연결을 적극적으로 연결 해제하기 때문에 IPS를 IDS의 확장이라고 생각할 수 있습니다. IDS 장치는 IDS 역할을 수행하는 소프트웨어를 실행하는 어플라이언스 또는 별도의 서버로 실행되는 네트워크 기반 장치 일 수 있지만 클라이언트 또는 네트워크 컴퓨터에도 설치할 수 있습니다. 나중에는 호스트 기반 침입 탐지 시스템 (HIDS)이라고도합니다.
시스코는 IDS 및 IPS 시스템에 대한 몇 가지 옵션을 제공하며이를 독립형 시스템 또는 기존 보안 제품의 애드온으로 제공합니다. 다음은 두 가지 옵션입니다:
IDS와 IPS에는 탐지 작업을위한 여러 가지 방법이 있습니다. 네트워크의 바이러스와 마찬가지로 침입 및 공격은 서명 또는 동작으로 기록되는 기능을 가지고 있습니다. 따라서 IPS 시스템에서 이러한 유형의 데이터 또는 동작이 감지되면 IPS 시스템이 작동하게됩니다.
-
-
수상한 행동으로 인해 이러한 시스템이 작동 할 수도 있습니다. 이 동작에는 서브넷의 모든 주소를 순차적으로 ping하려고 시도하는 원격 시스템과 비정상적인 것으로 간주되는 다른 작업이 포함될 수 있습니다. IPS 시스템에서이 작업을 볼 때 IPS는 소스 장치를 무한정 또는 일정 기간 블랙리스트 또는 차단하도록 구성 할 수 있습니다.
이러한 시스템이 네트워크에서 의심스러운 트래픽을 식별 할 수있는 다른 방법은 일정 기간 동안 학습 모드에서 실행되도록하는 것입니다. 몇 주가 지나면 네트워크에서 정기적 인 트래픽 패턴을 분류 한 다음 해당 설정된 패턴으로 트래픽을 제한 할 수 있습니다.
네트워크에 새 소프트웨어를 도입 한 경우 적절한 규칙을 수동으로 추가하거나 학습 기간을 실행 한 다음 시스템을 예방 모드로 되돌려 놓아야 할 수 있습니다.호스트 기반 시스템은 네트워크에서 실행중인 관리 서버 또는 정책 서버에서 해당 규칙을 업데이트하기 때문에 이러한 필요성이 있습니다.이러한 시스템은 이전 바이러스 침입과는 다른 새로운 바이러스 또는 네트워크 공격 인
Day Zero attacks
의 확산을 방지합니다. 이러한 Day Zero 공격은 새로운 공격이기 때문에 공격에 대한 특정 서명이 없습니다. 공격은 여전히 탐지되고 차단 될 수있는 동일한 의심스러운 행동을 수행해야합니다.