[Network] 침입탐지시스템(IDS)과 침입방지시스템(IPS)

- 침입탐지시스템(IDS: Instrusion Detection System)

• 네트워크 또는 시스템에 대한 침입 행위를 감지하기 위해 사용되는 시스템
• 네트워크 트래픽을 모니터링하고, 알려진 공격 패턴이나 비정상적인 동작을 감지하여 보안 이벤트로 식별합니다.
• 실시간 트래픽 분석, 알림 메세지 생성
• 침입을 막지 않고, 탐지만 수행
• 호스트 기반(HIDS: Host-based IDS): 컴퓨터 시스템을 내부를 감시하고 분석하는 데 중점. 네트워크에 대한 침입탐지는 불가능. 스스로 공격 대상이 될 떄만 침입을 탐지하는 방식. (ex. 트로이목마, 논리폭탄, 백도어 탐지 등)
• 네트워크 기반(NIDS: Network-based IDS): 네트워크를 통해 전송되는 패킷 정보 수집 및 분석하여 침입 탐지. 공격당한 시스템의 공격에 대한 결과는 알 수 없으며, 암호화된 내용은 탐지가 불가능.

 

- 침입방지시스템(IPS: Intrusion Preventing System)

• IDS의 기능을 보완하여 식별된 악성 행위에 대해 적극적으로 대응하는 시스템
• 탐지된 공격패턴을 기반으로 패킷을 차단하거나, 악성 코드 실행을 방지하기 위해 시스템 설정을 변경
• 탐지와 대응을 실시간으로 수행
• 일반적으로 방화벽 내부에 설치(방화벽과 연동하여 공격 탐지)

 

- IDS, IPS, Firewall 차이

https://catchingitsecure.tistory.com/4

 

 

- Snort

• 자유-오픈 소스 네트워크 침입 차단 시스템이자, 네트워크 침입 탐지 시스템