침입차단시스템: Difference between revisions

From CS Wiki
No edit summary
Line 5: Line 5:
;네트워크 또는 호스트로의 비정상적인 접근을 탐지하고 자동으로 차단하는 시스템
;네트워크 또는 호스트로의 비정상적인 접근을 탐지하고 자동으로 차단하는 시스템


== IPS의 특징 ==
==IPS의 특징==


* 지능형 방어
*지능형 방어
* 적극적 방어
*적극적 방어
* 오탐 최소화
*오탐 최소화


== [[침입탐지시스템|침입탐지시스템(IDS)]]과의 차이 ==
==[[침입탐지시스템|침입탐지시스템(IDS)]]과의 차이==
기본적으로 '침입탐지시스템'과 모든 메커니즘이 동일하다. 자동으로 차단하는 기능이 있냐 없냐의 차이
기본적으로 '침입탐지시스템'과 모든 메커니즘이 동일하다. 자동으로 차단하는 기능이 있냐 없냐의 차이


* 아래 비교표는 IPS가 등장하기 시작한 시기의 비교 내용으로, 최근엔 두 시스템간 차이가 크지 않다.
*아래 비교표는 IPS가 등장하기 시작한 시기의 비교 내용으로, 최근엔 두 시스템간 차이가 크지 않다.
* IPS를 도입하고 차단 기능을 off 해두면 IDS로 사용되는 식
*IPS를 도입하고 차단 기능을 off 해두면 IDS로 사용되는 식


{| class="wikitable"
{| class="wikitable"
|+
|+
!구분
!구분
!IDS
![[IDS]]
!IPS
![[IPS]]
|-
|-
|주요 목적
|'''주요 목적'''
|
|
* Passive & Receive
*Passive & Receive
* 침입 여부의 탐지 목적
*침입 여부의 탐지 목적
|
|
* Active & Proactive
*Active & Proactive
* 침입 이전의 방지 목적
*침입 이전의 방지 목적
|-
|-
|분석 방법
|'''분석 방법'''
|
|
* 주로 시그니처 DB 기반
*주로 시그니처 DB 기반
* 알려진 공격 패턴 탐지
*알려진 공격 패턴 탐지
|
|
* 주로 정책 Rule DB  기반
*주로 정책 Rule DB  기반
* 알려지지 않은 공격도 탐지
*알려지지 않은 공격도 탐지
|-
|-
|대응 방법
|'''대응 방법'''
|
|
* ESM룰에 따라 방화벽 정책 변경
*ESM룰에 따라 방화벽 정책 변경
|
|
* 자원 접근을 직접 차단
*자원 접근을 직접 차단
|}
|}


== [[방화벽]]과의 차이 ==
==[[방화벽]]과의 차이==


* 장비에 유입되는 트래픽을 검사하는 영역의 차이
*장비에 유입되는 트래픽을 검사하는 영역의 차이
* 방화벽은 단순히 IP와 포트 정책을 기반으로 차단하는 것과 달리, IPS는 시그니처 기반으로 패킷을 분석하여 차단 수행
*방화벽은 단순히 IP와 포트 정책을 기반으로 차단하는 것과 달리, IPS는 시그니처 기반으로 패킷을 분석하여 차단 수행
* IPS는 정상적인 IP와 포트에서 들어오는 악성코드 등도 탐지 및 차단 가능
*IPS는 정상적인 IP와 포트에서 들어오는 악성코드 등도 탐지 및 차단 가능

Revision as of 04:41, 5 June 2020


IPS; Intrusion Prevention System
네트워크 또는 호스트로의 비정상적인 접근을 탐지하고 자동으로 차단하는 시스템

IPS의 특징

  • 지능형 방어
  • 적극적 방어
  • 오탐 최소화

침입탐지시스템(IDS)과의 차이

기본적으로 '침입탐지시스템'과 모든 메커니즘이 동일하다. 자동으로 차단하는 기능이 있냐 없냐의 차이

  • 아래 비교표는 IPS가 등장하기 시작한 시기의 비교 내용으로, 최근엔 두 시스템간 차이가 크지 않다.
  • IPS를 도입하고 차단 기능을 off 해두면 IDS로 사용되는 식
구분 IDS IPS
주요 목적
  • Passive & Receive
  • 침입 여부의 탐지 목적
  • Active & Proactive
  • 침입 이전의 방지 목적
분석 방법
  • 주로 시그니처 DB 기반
  • 알려진 공격 패턴 탐지
  • 주로 정책 Rule DB 기반
  • 알려지지 않은 공격도 탐지
대응 방법
  • ESM룰에 따라 방화벽 정책 변경
  • 자원 접근을 직접 차단

방화벽과의 차이

  • 장비에 유입되는 트래픽을 검사하는 영역의 차이
  • 방화벽은 단순히 IP와 포트 정책을 기반으로 차단하는 것과 달리, IPS는 시그니처 기반으로 패킷을 분석하여 차단 수행
  • IPS는 정상적인 IP와 포트에서 들어오는 악성코드 등도 탐지 및 차단 가능