침입 방지 시스템이란 무엇입니까?
IPS (Intrusion Prevention System)는 의심스러운 활동이 있는지 네트워크의 데이터 패킷을 모니터링하고 특정 정책을 사용하여 조치를 취합니다. 침입을 방지하기 위해 방화벽을 포함하는 침입 탐지 시스템과 다소 유사합니다. 의심스러운 것이 감지되면 네트워크 또는 시스템 관리자에게 경고를 보내 이벤트가 발생할 때 관리자가 수행 할 조치를 선택할 수 있습니다. 침입 방지 시스템은 전체 네트워크, 무선 네트워크 프로토콜, 네트워크 동작 및 단일 컴퓨터 트래픽을 모니터링 할 수 있습니다. 각 IPS는 특정 탐지 방법을 사용하여 위험을 분석합니다.
침입 방지 시스템은 IPS 모델과 기능에 따라 다양한 보안 침해를 탐지 할 수 있습니다. 일부는 네트워크를 통한 맬웨어 확산, 두 시스템 간 대용량 파일 복사, 포트 스캔과 같은 의심스러운 활동의 사용을 감지 할 수 있습니다. IPS는 문제를 보안 규칙과 비교 한 후 각 이벤트를 기록하고 이벤트 빈도를 기록합니다. 네트워크 관리자가 사건을 기반으로 특정 작업을 수행하도록 IPS를 구성한 경우 침입 차단 시스템이 할당 된 작업을 수행합니다. 필요한 경우 기본 경보가 관리자에게 전송되어 적절히 응답하거나 IPS에 대한 추가 정보를 볼 수 있습니다.
네트워크 기반, 무선, 네트워크 동작 분석 및 호스트 기반을 포함하여 네 가지 일반적인 유형의 침입 방지 시스템이 있습니다. 네트워크 기반 IPS는 다양한 네트워크 프로토콜을 분석하며 일반적으로 원격 액세스 서버, 가상 사설망 서버 및 라우터에서 사용됩니다. 무선 IPS는 무선 네트워크에서의 의심스러운 활동을 감시하고 해당 지역에서 승인되지 않은 무선 네트워크를 찾습니다. 네트워크 동작 분석은 네트워크를 중단 시키거나 맬웨어를 유포 할 수있는 위협을 찾아 일반적으로 인터넷에 연결된 개인 네트워크와 함께 사용됩니다. 호스트 기반 IPS는 단일 시스템에서 작동하며 이상한 응용 프로그램 프로세스, 호스트에 대한 비정상적인 네트워크 트래픽, 파일 시스템 수정 및 구성 변경을 찾습니다.
침입 방지 시스템에서 사용할 수있는 탐지 방법에는 세 가지가 있으며 많은 시스템에서이 세 가지를 조합하여 사용합니다. 서명 기반 탐지는 보안 위반이 발생했는지 확인하기 위해 이벤트를 이미 문서화 된 서명과 비교하여 알려진 위협을 탐지하는 데 효과적입니다. 이상 기반 탐지는 시스템이나 네트워크에서 발생하는 정상 이벤트와 비교할 때 비정상적인 활동을 찾고 알려지지 않은 위협을 식별하는 데 특히 유용합니다. 상태 저장 프로토콜 분석은 특정 프로토콜이 일반적으로 사용되는 방식에 반하는 활동을 찾습니다.