침입방지시스템 (IPS ; Intrusion Prevention System)
◈ 침입방지시스템은 다양하고 지능적인 침입 기술에 대해 다양한 방법의 보안 기술을 이용해, 침입이 일어나기 전에 실시간으로 침입을 막고 알려지지 않은 방식의 침입으로부터 네트워크와 호스트를 보호할 수 있는 시스템을 말한다. 즉, 스니퍼를 기반으로 탄생한 IDS는 현재보다 더 많은 공격을 정확하 게 탐지하는 데 목적이 있는 방면, 수많은 시행착오를 거친 파이어월과 IDS, 시큐어 OS 등의 보안 기술에 기반을 둔 IPS는 공격을 탐지하는 것뿐만 아니 라 공격이 일어나는 것을 근본적으로 방어하는 것을 목적으로 한다.
◈ 공격 시그니처를 찾아내 네트워크에 연결된 기기에서 수상한 활동이 이루어지는지를 감시하며, 자동으로 조치를 취함으로써 그것을 중단시키는 보안 솔루션이다. 수동적인 방어 개념의 방화벽이나 IDS와 달리 침입유도시스템이 지닌 지능적 기능과 적극적으로 자동 대처하는 능동적인 기능이 합쳐진 개 념으로 코드레드 웜 발생시 무용지물이 된 기존 솔루션의 대안으로 떠오른 침입방지시스템이다.
◈ 현 정보보안 시스템의 취약성
방화벽은 내부의 중요한 자원과 외부세계와의 경계를 생성하고, 정책기반의 접근제어를 효과적으로 제공하고 있다.
하지만 방화벽은 네트워크 사용 목적상 열린 포트를 가지게 되며, HTTP 웜, DoS공격, 변형 프로토콜을 통한 공격에는 방화벽의 특성상 효과적으로 막지 못한다. 또한 방화벽은 이러한 공격으로 인해 네트워크의 병목현상과 가용성을 떨어뜨리는 요인이 될 수 있다.
◈ nIDS(침입탐지시스템)의 취약성
nIDS는 공격, 침입, 원하지 않는 트래픽을 구별할 수 있다는 점에서 가치가 있으며, 일부 nIDS는 TCP리셋 기능을 가지고 공격차단을 시도하기도 한다.
하지만 nIDS는 정확한 시점에 공격을 차단하지 못하며 실질적인 방어는 관리자의 수동적인 개입을 필요로 하게 된다.
또한 nIDS는 모든 비정상적인 트래픽에 대한 경보를 발생함으로써 엄청난 로그를 발생 시킨다.
따라서 이들 중 정확한 이벤트 정보를 선별하는 것은 관리자에게 과도한 부담을주며 실제 공격을 놓칠 수도 있다.