침입 방지 시스템 (IPS) 원리

IPS 작동 방식

IPS 의 실시간 검사 및 침입 방지 원칙은 IPS 에 다양한 공격을 방지하는 수많은 필터가 있다는 것입니다. 새로운 공격 수단이 발견되면 IPS 는 새로운 필터를 만듭니다. IPS 패킷 처리 엔진은 패킷 내용을 심층적으로 검사할 수 있는 전문화된 맞춤형 집적 회로입니다. 공격자가 Layer 2 (미디어 액세스 제어) 에서 Layer 7 (적용) 까지의 취약점을 이용하여 공격을 시작하면 IPS 는 데이터 스트림에서 이러한 공격을 감지하고 차단할 수 있습니다. 기존 방화벽은 레이어 3 또는 레이어 4 만 검사할 수 있으며 응용 프로그램 계층의 내용은 감지할 수 없습니다. 방화벽의 패킷 필터링 기술은 각 바이트를 확인하지 않으므로 공격 활동을 찾을 수 없으며 IPS 는 패킷을 바이트별로 확인할 수 있습니다. IPS 를 통과하는 모든 패킷은 소스 및 대상 IP 주소, 포트 번호 및 애플리케이션 도메인과 같은 패킷의 헤더 정보를 기준으로 분류됩니다. 각 필터는 해당 패킷을 분석합니다. 검사를 통과한 패킷은 계속 전진할 수 있고, 악의적인 콘텐츠가 포함된 패킷은 폐기되고, 의심되는 패킷은 추가 검사를 받아야 한다.

IPS 는 공격 행위에 따라 다른 필터가 필요합니다. 각 필터에는 정확성을 보장하기 위해 광범위하게 정의된 해당 필터링 규칙이 있습니다. 전송 컨텐츠를 분류할 때 필터링 엔진은 패킷의 정보 매개변수도 참조하고 컨텍스트 분석을 위해 의미 있는 도메인으로 구문 분석하여 필터링 정확도를 높여야 합니다.

필터 엔진은 흐르는 물과 대규모 병렬 처리 하드웨어를 결합하여 수천 건의 패킷 필터링 검사를 동시에 수행할 수 있습니다. 병렬 필터링 프로세스를 통해 패킷이 속도에 영향을 주지 않고 시스템을 지속적으로 빠르게 통과할 수 있습니다. 이러한 하드웨어 가속 기술은 IPS 에 매우 중요합니다. 기존의 소프트웨어 솔루션은 직렬 필터링 검사를 해야 하므로 시스템 성능이 크게 저하될 수 있기 때문입니다.

IPS 종류

* 호스트 기반 침입 방지 (HIPS)

HIPS 호스트/서버에 소프트웨어 에이전트를 설치하여 운영 체제 및 어플리케이션에 대한 네트워크 공격을 방지합니다. 호스트 기반 침입 보호는 불법 분자로부터 서버의 보안 약점을 보호합니다. Cisco 의 Okena, NAI 의 McAfee Entercept, 관군 김진의 용연 서버 코어 보호는 모두 이런 제품이기 때문에 빨간색 코드와 Nimda 공격을 예방하는 데 좋은 보호 역할을 한다. 호스트 기반 침입 방지 기술은 맞춤형 보안 정책 및 분석 학습 메커니즘을 기반으로 서버 및 호스트에 대한 악의적인 침입을 차단할 수 있습니다. HIPS 는 버퍼 오버플로우를 차단하고, 로그인 비밀번호를 변경하고, 동적 링크 라이브러리를 덮어쓰고, 운영 체제에서 제어권을 빼앗으려는 기타 침입 행위를 차단하여 호스트의 보안 수준을 전반적으로 높일 수 있습니다.

기술적으로 HIPS 는 패킷 필터링, 상태 패킷 감지 및 실시간 침입 감지로 구성된 계층형 보호 시스템을 활용하는 고유한 서버 보호 경로를 사용합니다. 이 시스템은 합리적인 처리량을 제공하는 전제하에 서버의 민감한 콘텐츠를 최대한 보호할 수 있으며, 어플리케이션의 운영 체제 호출에 소프트웨어 형태로 내장될 수 있으며, 운영 체제에 대한 의심스러운 호출을 차단함으로써 호스트에 대한 보안을 제공합니다. 운영 체제 커널 프로그램을 변경하여 운영 체제보다 더 엄격한 보안 제어 메커니즘을 제공할 수도 있습니다.

HIPS 는 보호되는 호스트/서버에서 작동하므로 특성 및 동작 규칙 감지, 버퍼 오버플로와 같은 알려진 공격 방지, 알 수 없는 공격 방지, 웹 페이지, 애플리케이션 및 리소스에 대한 무단 액세스 방지 등의 기능을 제공합니다. HIPS 는 특정 호스트/서버 운영 체제 플랫폼과 밀접하게 관련되어 있으며 플랫폼마다 다른 소프트웨어 에이전트가 필요합니다.

* 네트워크 기반 침입 방지 (NIPS)

NIPS 는 흐르는 네트워크 트래픽을 감지하여 네트워크 시스템을 보호합니다. 온라인 연결 방식을 사용하므로 침입 행위가 확인되면 NIPS 는 세션을 재설정하는 것 뿐만 아니라 전체 네트워크 세션을 제거할 수 있습니다. 또한 실시간 온라인 상태로 인해 NIPS 는 네트워크 병목 현상을 피하기 위해 높은 성능을 필요로 하므로 NIPS 는 일반적으로 스위치와 유사한 네트워크 장치로 설계되어 회선 속도 처리 속도와 여러 네트워크 포트를 제공합니다.

NIPS 는 기가비트 네트워크 트래픽에 대한 심층 패킷 감지 및 차단 기능을 구현하기 위해 특정 하드웨어 플랫폼을 기반으로 해야 합니다. 이 특정 하드웨어 플랫폼은 일반적으로 세 가지 범주로 나눌 수 있습니다. 하나는 네트워크 프로세서 (네트워크 칩), 하나는 전용 FPGA 프로그래밍 칩, 세 번째는 전용 ASIC 칩입니다. < P > 기술적으로 NIPS 는 특징 일치, 프로토콜 분석, 이상 감지 등 현재 NIDS 의 모든 검증된 기술을 활용합니다. 특징 매칭은 정확도가 높고 속도가 빠른 가장 널리 사용되는 기술입니다. 상태 기반 특징 매칭은 공격 행위의 특징을 감지할 뿐만 아니라 현재 네트워크의 세션 상태를 검사하여 스푸핑 공격을 방지합니다.

프로토콜 분석은 네트워크 프로토콜의 높은 순서를 최대한 활용하고 고속 패킷 캡처 및 프로토콜 분석과 결합하여 특정 공격 특성을 신속하게 감지하는 새로운 침입 탐지 기술입니다. 프로토콜 분석이 점차 성숙한 응용 단계로 접어들고 있다. 프로토콜 분석은 서로 다른 프로토콜의 작동 방식을 이해하고 이러한 프로토콜의 패킷을 분석하여 의심스럽거나 비정상적인 액세스 동작을 찾을 수 있습니다. 프로토콜 분석은 프로토콜 표준 (예: RFC) 뿐만 아니라 프로토콜의 구체적 구현에 기반을 두고 있습니다. 이는 많은 프로토콜 구현이 프로토콜 표준에서 벗어났기 때문입니다. 프로토콜 분석을 통해 IPS 는 삽입 (Insertion) 및 회피 (Evasion) 공격을 감지할 수 있습니다. 이상 탐지의 오보율은 비교적 높으며, NIPS 는 이를 주요 기술로 사용하지 않는다.

* AIP (application intrusion protection)

nips 제품에는 호스트 기반 침입 보호를 애플리케이션 서버 앞에 위치한 네트워크 디바이스로 확장하는 AIP (Application Intrusion Prevention) 라는 특수한 경우가 있습니다. AIP 는 사용자가 설정된 보안 정책을 준수하고 서버를 보호할 수 있도록 데이터를 적용하는 네트워크 링크에 구성된 고성능 장치로 설계되었습니다. NIPS 는 특정 호스트/서버 운영 체제 플랫폼에 관계없이 네트워크에서 작동하며 패킷을 직접 감지하고 차단합니다.

NIPS 의 실시간 감지 및 차단 기능은 향후 스위치에 나타날 가능성이 높습니다. 프로세서 성능이 향상됨에 따라 각 스위치 계층에 침입 방지 기능이 통합될 수 있습니다.

IPS 기술 특징 < P > 내장형 작동: 임베디드 모드에서 실행되는 IPS 장치만 실시간 보안을 제공하고, 의심스러운 모든 패킷을 실시간으로 차단하며, 나머지 데이터 스트림을 차단할 수 있습니다.

심층 분석 및 제어: IPS 는 어떤 악의적인 트래픽이 차단되었는지, 공격 유형, 정책 등에 따라 어떤 트래픽을 차단해야 하는지 결정하기 위한 심층 분석 기능이 있어야 합니다.

침입 기능 라이브러리: 고품질 침입 기능 라이브러리는 IPS 의 효율적인 운영을 위한 필수 조건이며, IPS 는 침입 기능 라이브러리를 정기적으로 업그레이드하고 모든 센서에 신속하게 적용해야 합니다.

효율적인 처리 능력: IPS 는 전체 네트워크 성능에 미치는 영향을 최소화하면서 패킷을 효율적으로 처리할 수 있어야 합니다.

IPS 가 직면한 과제

IPS 기술은 단일 장애 지점, 성능 병목 현상, 오류 보고 및 누락 등 많은 과제에 직면해 있습니다. 설계에서는 IPS 가 임베디드 모드에서 네트워크에서 작동해야 하므로 병목 현상이나 단일 장애 지점이 발생할 수 있습니다. IDS 에 장애가 발생하면 최악의 경우, 즉 일부 공격은 감지할 수 없고, 내장된 IPS 장치에 문제가 발생하면 네트워크의 정상적인 작동에 심각한 영향을 미칠 수 있습니다. IPS 에 장애가 발생하여 종료되면 사용자는 IPS 로 인한 서비스 거부 문제에 직면하게 되며 모든 고객은 엔터프라이즈 네트워크에서 제공하는 어플리케이션에 액세스할 수 없게 됩니다.

IPS 디바이스에 장애가 발생하지 않더라도 지연 시간을 늘리고 네트워크 효율성을 저하시킬 수 있는 잠재적인 네트워크 병목 현상이 남아 있습니다. IPS 는 수 기가바이트 이상의 네트워크 트래픽과 동기화해야 합니다. 특히 많은 수의 감지 기능 라이브러리를 로드할 때 제대로 설계되지 않은 IPS 내장 디바이스는 이러한 응답 속도를 지원할 수 없습니다. 대부분의 하이엔드 IPS 제품 공급업체는 맞춤형 하드웨어 (FPGA, 네트워크 프로세서, ASIC 칩) 를 사용하여 IPS 운영 효율성을 높입니다.

오보율과 오보율도 IPS 가 진지하게 직면해야 한다. 사용량이 많은 네트워크에서 초당 1 개의 경고 정보를 처리해야 하는 경우 IPS 는 시간당 최소 36, 개의 경고, 하루에 864, 개의 경고를 처리해야 합니다. 경고가 생성되면 가장 기본적인 요구 사항은 IPS 가 경고를 효율적으로 처리할 수 있다는 것입니다. 침입 특징이 제대로 작성되지 않았다면' 오보' 는 이용할 수 있는 기회를 갖게 되어 합법적인 유량도 예기치 않게 가로막힐 수 있다. (윌리엄 셰익스피어, 오보, 오보, 오보, 오보, 오보, 오보, 오보) 실시간 온라인 IPS 의 경우 "공격적인" 패킷을 차단하면 의심스러운 공격자의 모든 데이터 흐름이 차단됩니다. 오경보 신고를 트리거한 트래픽이 정확히 한 고객 주문의 일부라면, 그 결과는 이 고객의 전체 세션이 폐쇄될 것이며, 이후 해당 고객의 기업 네트워크에 다시 연결된 모든 합법적인 액세스는' 책임감 있는' IPS 에 의해 차단될 것으로 예상된다.

IPS 공급업체는 다양한 방법으로 이를 해결합니다. 첫째, 다양한 감지 기술을 종합적으로 채택하고, 두 번째는 전용 하드웨어 가속 시스템을 사용하여 IPS 의 운영 효율성을 높이는 것입니다. 그럼에도 불구하고 IPS 가 IDS 전철을 밟는 것을 피하기 위해 제조업체의 IPS 에 대한 태도는 매우 신중합니다. 예를 들어, NAI 가 제공하는 네트워크 기반 침입 방지 장치는 우회 액세스 방식을 포함한 다양한 액세스 모드를 제공합니다. 이 모드에서 실행되는 IPS 는 실제로 순수 IDS 장치입니다. NAI 는 사용자가 우회 감청에서 실시간 차단 공격으로의 자연스러운 전환을 지원할 수 있는 선택적 액세스 방법을 제공하고자 합니다.

IPS 의 부족은 사람들이 IPS 를 사용하지 못하도록 막는 이유가 될 수 없습니다. 보안 기능의 융합이 대세의 흐름이기 때문입니다. 침입 보호가 이러한 흐름에 순응하고 있기 때문입니다. 사용자의 경우 공급업체가 기술 지원을 제공하는 조건 하에서 선택적으로 IPS 를 채택하는 것이 공격에 대처하는 데 이상적입니다.