1. IPS (Intrusion Prevention System) 이란?
- 침입 방지 시스템 (IDS + 차단 기능)
- 외부망에서 내부망으로 유입되는 악성패킷에 대하여 탐지 및 방어를 능동적으로 수행하며, 실시간으로 탐지/방어하는 솔루션
2. 동작방식
① 트래픽 유입
② 무결성 검사 필터 (1차)
③ 유해 트래픽 검사 필터 (2차)
④ ②, ③에 의해 필터링 된 트래픽에 대해 "정책"과 비교
⑤ 정상 트래픽은 통과 시키며, 정책과 일치하는 트래픽이 있을 경우 차단 및 로깅
3. 종류
| 데이터 수집 방식 | 네트워크 | - 네트워크 기반 IPS (NIPS) - 네트워크 구간에 설치 |
| 호스트 | - 호스트 기반 IPS (HIPS) - 호스트(서버)에 직접 설치 |
|
| 탐지 방식 | 오용탐지 | - 패턴 기반 탐지 |
| 이상탐지 | - 정상 프로파일의 범위를 벗어날 경우 탐지 |
4. 구성 방식
- 대부분 In-Line 방식으로 방화벽 뒤에 설치하나 협의와 회의를 통해 내부 환경에 맞는 위치에 설치
5. 방화벽, IDS, IPS 비교
| 구분 | FireWall | IDS | IPS |
| 목적 | 접근 통제 및 인가 | 침입 여부 감지 | 침입 이전의 방지 |
| 패킷 차단 | O | X | O |
| 패킷 내용 분석 | X | O | O |
| 오용 탐지 | X | O | O |
| 오용 차단 | X | X | O |
| 이상 탐지 | X | O | O |
| 이상 차단 | X | X | O |
| 장점 | 엄격한 접근 통제 인가된 트래픽 허용 |
실시간 탐지 사후분석 대응기술 |
실시간 즉각 대응 세션 기반 탐지 가능 |
| 단점 | 내부자 공격 취약 네트워크 병목현상 |
션형 패턴에 대한 탐지 어려움 | 오탐 발생 가능 장비 고가 |