질문 은행 답변, 어서!
IDS 는 영어 "Intrusion Detection Systems" 의 약자이며, 중국어는 "침입 감지 시스템" 을 의미합니다.
IDS 는 영어 "Intrusion Detection Systems" 의 약자이며, 중국어는 "침입 감지 시스템" 을 의미합니다. 전문적으로 네트워크 및 시스템 운영을 특정 보안 정책에 따라 모니터링하고 다양한 공격 시도, 공격 또는 공격 결과를 찾아 네트워크 시스템 리소스의 기밀성, 무결성 및 가용성을 보장하는 것입니다.
예를 들어, 방화벽이 건물의 자물쇠라면 IDS 는 이 건물의 감시 시스템이다. 도둑이 창문을 타고 건물로 들어가거나 내부 인원이 국경을 넘으면 실시간 모니터링 시스템만이 상황을 발견하고 경고를 보낼 수 있다.
방화벽과 달리 IDS 는 어떤 링크도 브리징하지 않고 네트워크 트래픽이 흐르지 않고 작동할 수 있는 수신 장치입니다. 따라서 IDS 를 배포하기 위한 유일한 요구 사항은 IDS 가 모든 관련 트래픽이 통과해야 하는 링크에 연결해야 한다는 것입니다. 여기서' 트래픽에 대한 관심' 은 통계와 모니터링이 필요한 고위험 네트워크 영역의 액세스 트래픽과 네트워크 메시지를 말합니다. 오늘날의 네트워크 토폴로지에서는 미디어 충돌 도메인을 즐기는 이전의 허브 네트워크를 찾기가 어렵습니다. 대부분의 네트워크 영역은 스위치 네트워크 구조로 완전히 업그레이드되었습니다. 따라서 스위칭 네트워크에서 IDS 의 위치는 일반적으로 다음과 같이 선택됩니다.
(1) 가능한 공격원에 가깝게 접근합니다.
(2) 가능한 한 보호 된 자원에 가깝습니다.
이러한 위치는 일반적으로 다음과 같습니다.
서버 영역의 스위치에서 다음을 수행합니다
인터넷이 라우터에 접속한 후 첫 번째 스위치에서
네트워크 세그먼트 보호에 중점을 둔 LAN 스위치
방화벽과 IDS 는 별도로 작동할 수 있습니다. IDS 는 임시 제어 시스템입니다. 적합하거나 요구 사항에 맞는 것을 선택할 수 있습니다. 예를 들어, 규칙을 발견하거나 모니터링이 완벽하지 않은 경우 설정과 규칙을 변경하거나 재설정할 수 있습니다!
IPS: 침입 방지 (예방) 시스템
소개: 침입 방지 (예방) 시스템 (IPS) 은 차세대 침입 탐지 시스템 (IDS) 으로, 사전 예방 및 오보/누락 성격의 IS 약점을 보완해 줍니다. IPS 는 이벤트의 침입, 상관 관계, 영향, 방향 및 적절한 분석을 파악한 다음 방화벽, 스위치 및 기타 네트워크 장치에 적절한 정보와 명령을 전송하여 이벤트의 위험을 줄입니다.
침입 보호 (예방) 시스템 (IPS) 은 차세대 침입 탐지 시스템 (IDS) 으로, 사전 예방 및 오보/누락 성격의 IDS 약점을 보완해 줍니다. IPS 는 이벤트의 침입, 상관 관계, 영향, 방향 및 적절한 분석을 파악한 다음 방화벽, 스위치 및 기타 네트워크 장치에 적절한 정보와 명령을 전송하여 이벤트의 위험을 줄입니다.
IPS 의 핵심 기술 구성 요소로는 통합된 글로벌 및 로컬 호스트 액세스 제어, IDS, 글로벌 및 로컬 보안 정책, 위험 관리 소프트웨어, 글로벌 액세스를 지원하고 IPS 관리를 위한 콘솔 등이 있습니다. IDS 와 마찬가지로 IPS 도 오보나 누락을 줄여야 한다. 일반적으로 휴리스틱 스캔, 컨텐츠 검사, 상태 및 동작 분석과 같은 고급 침입 탐지 기술을 사용하며 기능 기반 감지 및 예외 탐지와 같은 일반적인 침입 탐지 기술을 결합합니다.
침입 탐지 시스템 (IDS) 과 마찬가지로 IPS 시스템은 호스트 기반 및 네트워크 기반 유형으로 나눌 수 있습니다.
호스트 기반 IPS
호스트 기반 IPS 는 보호 대상 시스템에 직접 설치된 에이전트에 따라 달라집니다. 운영 체제 커널 및 서비스와 밀접하게 연결되어 커널 또는 API 에 대한 시스템 호출을 모니터링하고 차단하여 공격을 방지하고 기록합니다. 또한 웹 서버의 파일 위치 및 등록과 같은 특정 애플리케이션의 데이터 흐름과 환경을 모니터링하여 아직 서명되지 않은 일반적인 공격으로부터 애플리케이션을 보호할 수 있습니다.
웹 기반 IPS
네트워크 기반 침입 방지 시스템은 표준 침입 탐지 시스템의 기능을 통합하며 침입 방지 시스템과 방화벽의 혼합체로 임베디드 침입 탐지 시스템 또는 게이트웨이 침입 탐지 시스템 (GIDS) 이라고 할 수 있습니다. 웹 기반 IPS 장치는 악성 정보 흐름이 해당 장치를 통과하는 것을 막을 수 있습니다. IPS 장치의 효율성을 높이기 위해서는 정보 흐름이 장치를 통과하도록 강제해야 합니다. 보다 구체적으로, 보호된 정보 흐름은 네트워크로 연결된 컴퓨터 시스템으로 전송되거나 전송되는 데이터를 나타내야 합니다.
지정된 네트워크 도메인에서 높은 수준의 보안 및 보호 및/또는
이 인터넷 분야에서는 내파가 일어날 가능성이 높다.
주소를 구성하면 네트워크를 가장 작은 보호 영역으로 효과적으로 분할하고 최대 유효 적용 범위를 제공할 수 있습니다.
IDS 와 IPS 사이의 분쟁에는 오해가 있습니다.
안내: "IDS 와 IPS(IDP) 가 사용자의 요구를 더 잘 충족시킬 수 있는 사람" 이라는 질문은 선택감을 준다. 오랜 반복 논증, 제품 개발 및 시장 피드백 등을 거쳐 냉정한 업계 인사와 고객은 이것이 전혀 선택 가능한 문제가 아니라는 것을 알게 되었습니다.
"IDS 와 IPS(IDP) 가 사용자의 요구를 더 잘 충족시킬 수 있는 사람" 이라는 문제에 대한 선택감을 준다. 오랜 반복 논증, 제품 개발 및 시장 피드백 등을 거쳐 냉정한 업계 인사와 고객은 이것이 전혀 선택 가능한 문제가 아니라는 것을 알게 되었습니다.
분명히 사용자에게 필요한 것은 단일 제품이 아니며 많은 제품의 단순 스택도 아닙니다. 현재 유행하고 있는 한 가지 주장은' 정보 보안 시스템 (시스템)' 입니다. 즉, 사용자의 보안은 다양한 기술, 제품, 서비스 및 관리의 결합에 의존하여 정보 자산과 정상적인 비즈니스를 보호하는 완벽한 시스템을 형성합니다.
보안 프레임워크에서 서로 다른 제품, 서비스 및 조치가 서로 다른 곳에서 작용한다. 예를 들어 PKI 와 바이오메트릭 인증 메커니즘의 장점은 인증 분야에서 좋은 역할을 할 수 있습니다. 침입 탐지는 모니터링, 모니터링 및 경보에서 중요한 역할을 합니다. 방화벽과 IPS 는 액세스 제어 분야에서 각자의 장점을 발휘할 수 있습니다. 데이터 암호화 및 컨텐츠 필터링이 컨텐츠 보안 영역을 주도하고 있습니다. 사실, 다양한 보안 기술이 효과적으로 함께 작동할 수 있도록 하는 방법에 대해 토론하는 것이 아니라, 서로 다른 보안 기술 분야에서 어느 것이 사용자의 요구에 더 부합하는지 토론하는 것이 낫다. (윌리엄 셰익스피어, 보안, 보안, 보안, 보안)
IPS 가 방화벽과 IDS 를 대체할 수 있을까요? IPS(IDP) 를 제공하는 공급업체는 종종 자신의 IPS 가 방화벽의 게이트웨이 방어 기능과 침입 감지의 깊이 감지를 결합하여 IPS 의 역할을 1+ 1 >:2 의 효과로 높이려고 한다고 주장합니다. 하지만 유감스럽게도, 사실은 그렇지 않다. 기술적인 본질에서 해결책을 찾아야 한다. 현재 IPS 는 정확한 단일 패킷 탐지와 고속 전송의 융합 문제를 주로 해결할 수 있습니다.
물론, 테스트와 출입금지가 어떻게 조화를 이루고 통합되는지는 항상 업계 연구의 과제이며, 더 나은 기술 형식이 있을 것이다. 이름이 무엇이든 사용자의 요구에 맞는 것이 가장 좋다.
침입 탐지 시스템과 침입 방지 시스템에는 세 가지 차이점이 있습니다
안내: 3 년 전 침입 방지 기술 (IPS) 이 등장했을 때 컨설팅 회사인 Gartner 는 IDS 가 곧 사라지고 IPS 로 대체될 것이라고 예측했는데, 이는 당시 언론에서 토론을 불러일으켰다. 2006 년 컨설팅 회사인 IDC 는 IDS 와 IPS 가 서로 다른 기술이며 서로 대체할 수 없다고 주장했습니다. 오늘날까지도 여전히 많은 사용자들이 그 차이를 알지 못하고 있다.
중국 인민은행의 장장은 IDS 의 아이언 사용자로, IDS 에 대해 매우 잘 알고 있지만, 그럼에도 불구하고 그는 단지 IPS 를 들어본 적이 있을 뿐, 실제로 쓰지도 않았고, 본 적도 없다. 그의 걱정은: IPS 가 사이버 위협의 차단 장치이기 때문에, 오보와 누락이 인터넷의 연결성에 영향을 미친다면 어떻게 할 것인가? 베이징은행의 위무충도 인터넷 입구에 IPS, 방화벽 /VPM, 바이러스 백신 게이트웨이 등 일련의 안전장치를 연결한다면 어떻게 인터넷의 효율성을 보장할 수 있을까? 새 디바이스를 추가하면 새로운 단일 장애 지점이 발생합니까?
사실 이러한 의문들은 IP 의 탄생과 발전을 동반해 왔다. 그 결과, 많은 사용자 보안 장비의 구매 목록에서' IDS 또는 IPS' 를 선택하는 것은 사용자가 여전히 두 기술의 차이를 이해하지 못한다는 것을 증명하는 것이다. (윌리엄 셰익스피어, IDS, IPS, IPS, IDS, IPS, IPS)
진싱 회사 제품 관리 센터 주임인 만청 () 은 이 두 가지 기술을 재검토할 때가 되었다고 생각한다. 그는 이 두 기술의 차이점을 3 차원에서 인식해야 한다고 생각한다.
추세상 차이를 보다
2004 년 Gartner 의 보고서는 IDS 가 멸망할 것으로 예상했지만, 사용자의 수요나 공급업체의 제품 판매량을 보면 IDS 는 여전히 수요가 왕성한 단계에 있다. 예를 들어, 국내 최대 IDS 업체인 계명성회사는 올해 상반기에 50% 이상 증가했으며, 회사의 가장 큰 이윤원은 여전히 IDS 입니다. IDS 필사의 결론은 잘못된 것으로 드러났다.
만청은 IDC 의 보고가 정확하다고 생각한다. IDS 와 IPS 는 두 가지 다른 제품 영역에 속합니다. 전자는 탐지 기술이고, 후자는 차단 기술이지만, 후자는 탐지를 바탕으로 공격을 차단하기 때문에 많은 탐지 기술을 사용했고, 많은 사용자들이 혼란스러웠다.
이론적으로 IDS 와 IPS 는 사용자의 위험 예방 패턴과 관련된 두 가지 계층에 속합니다. 사용자는 먼저 위험을 발견해야 예방과 차단을 할 수 있다. IDS 는 위험을 발견하고 평가하는 장치이고, IPS 는 위험을 차단하는 장치입니다. 방화벽은 네트워크 계층의 위험만 차단할 수 있고 애플리케이션 계층의 위험은 막을 수 없습니다. 과거 사람들은 방화벽과 IDS 연계를 이용하여 애플리케이션 계층의 위험 차단을 실현하는 데 익숙해졌다. 그러나 연계로 인해 차단 시간이 지연될 수 있으며, 종종 차단은 공격이 발생한 후에야 발생한다. 이런 봉쇄는 이미 의미를 잃었고, IPS 가 나타났다.
결론적으로 IDS 는 사용자 자체 평가, 자체 인식, IPS 또는 방화벽이 제어 환경을 개선하는 장치입니다. IPS 는 침입 위험 통제에 초점을 맞추고 IDS 는 침입 위험 관리에 초점을 맞추고 있습니다. 어쩌면 어느 날, IDS 를 통해 IP 가 어디에 있는지 확인할 수 있습니다. 방화벽을 어디에 두어야 합니까? 이 장치들은 어떤 전략을 갖추어야 합니까? 또한 IDS 를 통해 IPS/ 방화벽 배포 효과를 감지할 수 있습니다.
IDS 와 IPS 는 각각 애플리케이션 가치와 배포 목표를 가지고 있습니다.
가이드 가이드: 2003 년 Gartner 부사장인 Richard Stiennon 이' 침입 탐지가 죽고 침입 방어가 영원하다' 는 보고서를 발표한 이후 침입 탐지 시스템과 침입 방어 시스템의 관계에 대한 논의가 무미건조해졌다. 2006 년, IDC 연간 보안 시장 보고서는 침입 감지 시스템과 침입 방지 시스템이 두 개의 독립 시장이라는 점을 분명히 밝히며 이 논의를 마무리했다. 현재 정보 보안 업계의 전문가든 일반 사용자든 침입 탐지 시스템과 침입 방어 시스템이 두 가지 제품이며 침입 탐지 시스템을 대체할 가능성은 없다고 할 수 있습니다. 그러나 침입 방지 제품의 출현으로 인해 사용자에게 새로운 곤혹이 생겼습니다. 어떤 상황에서 침입 탐지 제품을 선택해야 하는지, 언제 침입 방어 제품을 선택해야 합니까? 사용자가 제품을 선택할 때 제품 유형에 "침입 탐지 시스템 또는 침입 방지 시스템" 이라고 적혀 있는 것을 본 적이 있습니다. 이는 사용자가 어떤 제품을 사용하는지 확실하지 않다는 것을 보여 줍니다. 두 가지 유형의 제품 간의 구분이 명확하지 않기 때문입니다. 사실, 제품 가치와 응용의 관점에서 볼 때, 우리는 이 두 가지 유형의 제품을 명확하게 구분하고 선택할 수 있습니다.
2003 년 Gartner 의 부사장 Richard Stiennon 이' 침입 탐지가 죽고 침입 방어가 영원하다' 는 보고서를 발표한 이후 침입 탐지 시스템과 침입 방어 시스템의 관계에 대한 논의가 무미건조해졌다. 2006 년, IDC 연간 보안 시장 보고서는 침입 감지 시스템과 침입 방지 시스템이 두 개의 독립 시장이라는 점을 분명히 밝히며 이 논의를 마무리했다. 현재 정보 보안 업계의 전문가든 일반 사용자든 침입 탐지 시스템과 침입 방어 시스템이 두 가지 제품이며 침입 탐지 시스템을 대체할 가능성은 없다고 할 수 있습니다. 그러나 침입 방지 제품의 출현으로 인해 사용자에게 새로운 곤혹이 생겼습니다. 어떤 상황에서 침입 탐지 제품을 선택해야 하는지, 언제 침입 방어 제품을 선택해야 합니까? 사용자가 제품을 선택할 때 제품 유형에 "침입 탐지 시스템 또는 침입 방지 시스템" 이라고 적혀 있는 것을 본 적이 있습니다. 이는 사용자가 어떤 제품을 사용하는지 확실하지 않다는 것을 보여 줍니다. 두 가지 유형의 제품 간의 구분이 명확하지 않기 때문입니다. 사실, 제품 가치와 응용의 관점에서 볼 때, 우리는 이 두 가지 유형의 제품을 명확하게 구분하고 선택할 수 있습니다.
제품 가치 관점에서 볼 때 침입 탐지 시스템은 네트워크 보안 감독에 중점을 둡니다. 네트워크 보안을 구축하기 전에 사용자는 일반적으로 정보 시스템이 직면한 위협을 고려해야 합니다. 이러한 위협의 원천과 정보 시스템에 대한 접근; 정보 시스템이 이러한 위협에 어떻게 저항하는지에 대한 정보. 정보 시스템 보안의 구축 및 구현에서는 정보 시스템의 보안 상태를 지속적으로 관찰하고 네트워크 위협의 추세를 이해해야 합니다. 이런 식으로 만 정보 시스템의 보안 구축은 보안 상황에 따라 보안 정책을 적시에 조정하고 정보 시스템이 손상 될 가능성을 줄일 수 있습니다.
침입 방지 시스템은 침입 행위 통제에 초점을 맞추고 있다. 사용자가 정보 시스템의 보안 구축 계획과 정책을 명확히 하면 침입 방지 시스템에서 경계 보호 보안 정책을 구현할 수 있습니다. 방화벽 제품이 구현할 수 있는 보안 정책과 달리 침입 방지 시스템은 응용 프로그램 계층에서 공격을 감지하고 차단할 수 있는 심층 방어 보안 정책을 구현할 수 있습니다. 이는 방화벽이 할 수 없는 것입니다. 물론 침입 감지 제품도 할 수 없습니다.
제품 응용 프로그램의 관점에서 네트워크 보안을 완전히 탐지하기 위해서는 침입 탐지 시스템이 네트워크 내부의 중심에 배치되어야 하며 모든 네트워크 데이터를 관찰해야 합니다. 정보 시스템에 논리적으로 분리된 서브넷이 여러 개 포함되어 있는 경우 전체 정보 시스템에 배포해야 합니다. 즉, 각 서브넷에 침입 감지 및 분석 엔진, 통합 엔진의 정책 관리 및 이벤트 분석을 구축하여 전체 정보 시스템의 보안 상황을 제어해야 합니다.
외부 공격을 방어하기 위해서는 사이버 경계에 침입 방어 시스템을 배치해야 한다. 이런 식으로 외부로부터의 모든 데이터는 침입 방지 시스템을 통해 연결되어 있어야 하며 침입 방지 시스템은 네트워크 데이터를 실시간으로 분석하고 공격 행위가 즉시 차단되어 외부로부터의 공격 데이터가 네트워크 경계를 통해 네트워크에 들어갈 수 없도록 해야 합니다.
IDS 는 특정 보안 정책에 따라 네트워크 및 시스템 운영을 모니터링하고 다양한 공격 시도, 공격 또는 공격 결과를 찾아 네트워크 시스템 리소스의 기밀성, 무결성 및 가용성을 보장하기 위해 노력하고 있습니다. IPS 는 이벤트의 침입, 상관 관계, 영향, 방향 및 적절한 분석을 파악한 다음 방화벽, 스위치 및 기타 네트워크 장치에 적절한 정보와 명령을 전송하여 이벤트의 위험을 줄입니다.