IPS (Instruction Prevention System / 침입 방지 시스템)
: IDS (침입 탐지 시스템)과 달리 공격이 발견되면 직접 차단하는 방어 시스템
: 트래픽이 지나가는 인라인 상에 배치되어 통신에 적극적으로 개입하고, 유해 트래픽을 차단
: HIPS (호스트 기반 IPS)와 NIPS (네트워크 기반 IPS)로 구분 되었으나, HIPS의 단점 (서비스와 리소스 공유, 장애 주체 파악의 어려움)으로 인해 NIPS가 많이 쓰이고 있음
- 기능
: 유해 트래픽 차단
: 회피 공격을 차단하기 위한 세션 이해
: 능동적 방어를 위한 어노말리 (Anomaly)
IPS의 동작 방식
- Signature (공격 DB)를 통한 패턴 매칭 방식 (패턴 방식 / 데이터베이스 방식)
: 기존 공격이나 취약점 분석을 통해 공격 방식에 대한 DB를 습득하고 최신 내용을 유지해 공격을 파악하는 방식
- Protocol Anomaly
: 서비스 포트와 프로토콜을 확인하여 서비스 포트에 맞지 않는 프로토콜을 차단
- Profile Anomaly
: 평소 관리자나 IPS 장비가 정한 기준과 다른 행위가 발생했을 때 공격으로 간주하고 차단
: 이상 행위를 탐지하며, 향후 DDoS 방어 장비로 진화함
NGIPS (Next Generation IPS)
: 오탐이 많이 발생하는 기존 IPS의 기능을 향상 시켜 문제점을 해결한 IPS
: 애플리케이션을 인지하거나 다양한 시스템과 연동할 수 있고 APT 공격을 방어하기 위한 기능도 제공
: 새로운 공격을 탐지하기 위한 미끼인 HoneyPot 시스템을 구축해 공격을 유도하고, 이를 통해 공격 DB를 업데이트
Reference
'Computer Science > Network' 카테고리의 다른 글
네트워크 인프라 14. 이중화 (0) | 2023.03.11 |
---|---|
네트워크 인프라 13. VPN (Virtual Private Network) (0) | 2023.03.11 |
네트워크 인프라 11. 방화벽 (0) | 2023.03.11 |
네트워크 인프라 10. 보안 (0) | 2023.03.11 |
네트워크 인프라 9. 네트워크 상태 확인 방법 (0) | 2023.03.11 |