IPS (Intrusion Prevention System)

IPS, '침입 방지 시스템' 이다.

> '침입탐지(Intrusion Detection)'와 '방화벽(Firewall)'과 같은 네트워크 기반의 차단 솔루션을

   논리적으로 결합한 시스템

 

'방화벽(Firewall)'은 IP/Port를 기반으로 차단하는 솔루션

'침입탐지시스템(IDS : Intrusion Detection)'은 자체적으로 내장된 각종 해킹수법을 기반으로 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지

 

불순한 사용자 및 외부침입자가 컴퓨터, 시스템, 네트워크 자원을 권한 없이 불법으로 사용하기 위한 시도를 할때,

일반적으로 네트워크상의 웜이나 공격에 대해서 특정한 패턴(Pattern)을 가지는데, 

이런 특정한 패턴의 특성을 파악해서 네트워크 공격이 들어오면, 패턴 매칭(matching)을 통해서, 공격을 탐지하게 된다.

이러한 패턴을 정의한 것이 '시그니처(Signature)'이다.

 

 

 

* 시그니처 패턴 매칭(Signature Pattern Matching)

기본적인 '바이러스 월'의 동작 방식으로 내부적으로 파일 기반 진단 기법을 기본으로 하고 있으며,

유입되는 데이터 스트림(Data Sream) 부분과 바이러스 감염 여부를 진단한다.

 

이 방식은 파일의 특정 부분이나 고유한 부분만을 검사하므로 비교적 정확한 진단이 가능하여, 빠른 스캔 속도를 제공한다는 장점이 있으나, 알려지지 않은 공격에 대해서는 취약하다는 단점이 있다.

> 최근 전통적인 시그니처 기반의 보안 솔루션들이 멀웨어 같은 바이러스들을 탐지 못하고 있는 경우가 빈번히

   발생하고 있다. 이제는 능동적인 보안으로 전환해야 하는 시기가 왔다.

 

 

*바이러스 월(Virus wall)

바이러스에 대한 백신 엔진을 이용한 방화벽과 동일한 개념으로 생각하면 된다.

외부 네트워크와 연결된 게이트웨이 수준에서 인증되지 않은 외부 사용자를 차단하는 소프트웨어이다.

주로 네트워크를 통과하는 콘텐츠 중에서 바이러스나 웜 등의 악성 프로그램을 검사하고, 차단하는 방지 솔루션이다.