기본 소개 중국어 이름: 침입 방어 시스템 mbth: 침입 방어 시스템 별칭: 트로이 목마 표현: 컴퓨터 바이러스 제출 시간: 20 14 응용 분야: 사회 응용 분야: 글로벌 응용 분야: 생명 개념, 사이버 보안, 원인, 침입 방어 기술, 시스템 유형 침입 방지 시스템은 네트워크 또는 네트워크 장치의 네트워크 데이터 전송 동작을 모니터링하고 특정 비정상적이거나 유해한 네트워크 데이터 전송 동작을 실시간으로 중단, 조정 또는 격리할 수 있는 컴퓨터 네트워크 보안 장치입니다. 사이버 보안은 컴퓨터의 광범위한 응용과 인터넷의 보급에 따라 인터넷 안팎에서 오는 위험과 범죄도 늘고 있다. 20 년 전, 컴퓨터 바이러스는 주로 플로피 디스크를 통해 전파되었다. 그런 다음 사용자는 바이러스가 있는 이메일 첨부 파일을 열어 첨부 파일에 있는 바이러스를 트리거할 수 있습니다. 예전에는 바이러스 전파가 비교적 느리기 때문에 바이러스 백신 소프트웨어 개발자들은 바이러스를 냉정하게 연구하고 바이러스 백신 소프트웨어를 개발할 시간이 충분했다. 오늘날 바이러스는 수가 급격히 증가했을 뿐만 아니라 품질도 향상되었으며, 인터넷을 통해 빠르게 전파되어 단 몇 시간 만에 전 세계에 전파될 수 있습니다. 일부 바이러스는 전파 과정에서 형태를 바꿔 바이러스 백신 소프트웨어를 무효로 한다. 현재 인기 있는 공격 프로그램과 유해 코드는 DoS (서비스 거부), DDoS (분산 서비스 거부), 폭력 공격, 포트 스캔, 스니핑, 바이러스, 웜, 스팸, 트로이 목마 등이다. 게다가 소프트웨어에 허점과 결함이 있어 허점을 뚫고 나쁜 짓을 하는 것은 막을 수 없다. 사이버 침입은 점점 더 많아지고 있습니다. 어떤 사람들은 방화벽을 최대한 활용하고, 어떤 사람들은 바이러스 백신 소프트웨어를 무효화시킵니다. 예를 들어, 바이러스가 처음 네트워크에 들어갔을 때, 해당 식별 및 제거 방안을 신속히 개발하지 않았기 때문에, 이 새로운 바이러스는 빠르게 전파되어 인터넷에서 기승을 부리며 단일 컴퓨터나 네트워크 자원을 위험에 빠뜨리고 있다. 이것이 이른바 제로 데이 공격이다. 방화벽은 IP 주소나 서비스 포트를 기준으로 패킷을 필터링할 수 있습니다. 그러나 합법적인 IP 주소와 접속 포트를 사용하는 파괴 활동에 대해서는 아무것도 할 수 없습니다. 방화벽은 패킷 검사 내용을 거의 파고들지 않기 때문이다. DPI 기술을 사용하더라도 그 자체로도 많은 과제에 직면해 있습니다. 각 공격 코드에는 자체 서명이 있습니다. 바이러스는 다른 기능을 통해 서로 구분되며 일반 응용 프로그램 코드와 구별됩니다. 바이러스 백신 소프트웨어는 알려진 모든 바이러스 특징을 저장하여 바이러스를 식별합니다. ISO/OSI 네트워크 계층 모델 (OSI 모델 참조) 에서 방화벽은 주로 2 ~ 4 층에서 작동하며 4 ~ 7 계층 기능은 일반적으로 약합니다. 바이러스 백신 소프트웨어는 주로 5 층에서 7 층까지 일한다. 4 층과 5 층 사이의 방화벽과 바이러스 백신 소프트웨어의 차이를 메우기 위해 몇 년 전 침입 탐지 시스템 (IDS) 이 공업에 투입됐다. 침입 탐지 시스템은 비정상적인 상황이 발견된 후 네트워크 보안 관리자 또는 방화벽 시스템에 즉시 경고를 보냅니다. 불행히도, 재난은 왕왕 이미 형성되었다. 소 잃고 외양간 고치는 것은 아직 늦지 않았지만, 방어 메커니즘은 상처가 형성되기 전에 미리 역할을 하는 것이 가장 좋다. 이후 침입 감지 시스템을 보완하는 침입 대응 시스템 (IRS) 이 등장해 침입이 발견되면 신속하게 대응하고 자동으로 조치를 취하여 제지할 수 있게 되었습니다. 침입 방어 시스템은 양자의 진일보한 발전으로 그들의 장점을 흡수했다. 침입 방지 시스템은 침입 탐지 시스템과 마찬가지로 네트워크 데이터로 깊숙이 들어가 알려진 공격 코드의 특징을 찾고 유해한 데이터 스트림을 필터링하고 유해한 패킷을 폐기하며 향후 분석을 위해 기록합니다. 또한 더 중요한 것은 대부분의 침입 방지 시스템이 침입과 공격을 식별하는 데 도움이 되는 어플리케이션 또는 네트워크 전송의 예외를 고려하고 있다는 것입니다. 예를 들어, 사용자 또는 사용자 프로그램이 보안 규정을 위반하고, 패킷이 발생해서는 안 되는 시간에 발생하며, 운영 체제 또는 어플리케이션의 취약점이 활용됩니다. 침입 방지 시스템도 알려진 바이러스의 특징을 고려하지만 알려진 바이러스의 특성에만 의존하는 것은 아닙니다. 침입 방지 시스템을 적용하는 목적은 공격 프로그램이나 유해 코드와 복제 및 변종을 적시에 식별하고, 예방 조치를 취하고, 침입을 미리 차단하고, 미연에 예방하는 것이다. 아니면 적어도 그 위험성을 충분히 낮출 수 있습니다. 침입 방지 시스템은 일반적으로 방화벽과 바이러스 백신 소프트웨어를 보완하는 것이다. 필요하다면 구타자의 형사책임을 추궁하기 위해 법적으로 유효한 증거도 제공할 수 있다. 원인 A: 직렬 배치 방화벽은 기본 공격을 차단할 수 있지만 애플리케이션 계층에 대한 심층 공격은 할 수 없습니다. B: Bypass 가 배포한 IDS 는 방화벽을 관통하는 심도 있는 공격을 제때에 감지하여 방화벽을 보완하는 데 도움이 되지만 실시간으로 차단하지 못해 죄송합니다. C: IDS 와 방화벽 연계: IDS 검색, 방화벽을 통한 차단. 그러나 지금까지 통일된 인터페이스 사양이 없어' 인스턴트 공격' (SQL 주입, 오버플로우 공격 등 한 세션에서 얻을 수 있는 공격 효과) 이 점점 더 빈번해지고 있다. ), 이로 인해 실제 응용 프로그램에서 IDS 와 방화벽 연계의 효과가 크게 나타나지 않습니다. 이것이 바로 IPS 제품의 유래입니다. 방화벽이 방어할 수 없는 심층 침입 위협 (침입 탐지 기술) 을 방어할 수 있는 온라인 배포 (방화벽) 보안 제품입니다. 사용자가 통제할 수 없는 침입 위협을 발견했기 때문에 이것이 바로 IDS 의 역할이다. 침입 탐지 시스템 (IDS) 은 침입 행위가 될 수 있는 비정상적인 데이터를 감지하고 경고하고, 사용자 네트워크의 실시간 상황을 알려주며, 적절한 솔루션과 처리 방법을 제공하는 위험 관리를 핵심으로 하는 보안 제품입니다. 침입 방지 시스템 (IPS) 은 위험 통제에 중점을 둔 보안 제품으로, 공격으로 명확하게 판단되고 네트워크와 데이터에 해를 끼칠 수 있는 악의적인 행위를 탐지하고 방어함으로써 사용자가 비정상적인 상황을 처리하는 비용을 줄이거나 줄입니다. 이는 또한 IDS 와 IPS 간의 관계를 설명하고 대체와 상호 배타적인 것이 아니라 상호 협력합니다. IDS 가 배포되지 않았을 때 우리는 어떤 보안 제품을 어디에 배치해야 할지 느낌으로만 판단할 수 있습니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 안전명언) IDS 의 광범위한 배포를 통해 현재 네트워크의 실시간 상황을 이해하고 사용 위치, 사용 중인 보안 제품 (IPS 등) 을 더 자세히 파악할 수 있습니다. ) 이 상황에 따라 배포되어야 합니다. 침입 방지 기술 * 이상 탐지. 침입 탐지 시스템과 마찬가지로 침입 방지 시스템은 정상 데이터와 일반적으로 발생하는 데이터 간의 관계를 알고 있으며 비교를 통해 예외를 식별할 수 있습니다. * 동적 코드 (ActiveX, Java 애플릿, 다양한 명령 언어의 스크립팅 언어 등) 가 발생했습니다. ), 먼저 모래판에 넣고, 그들의 행동 추세를 관찰한다. 의심스러운 상황이 발견되면 전송을 중지하고 집행을 금지하다. * 일부 침입 방지 시스템은 프로토콜 예외, 전송 예외 및 기능 감지를 결합하여 유해한 코드가 게이트웨이나 방화벽을 통해 네트워크에 들어오는 것을 효과적으로 방지합니다. * 커널 기반 보호 메커니즘. 사용자 프로그램은 저장소, 입/출력 장치, 중앙 처리 장치 등과 같은 리소스를 즐길 수 있습니다. ) 시스템 지침을 통과합니다. 침입 방지 시스템은 유해한 시스템 요청을 차단할 수 있다. * 도서관, 레지스트리, 중요 문서 및 중요 폴더를 보호하고 보호합니다. 시스템 유형 투입된 침입 방지 시스템은 용도에 따라 HIPS (호스트 기반 침입 방지 시스템) 와 NIPS (네트워크 침입 방지 시스템) 의 두 가지 유형으로 나눌 수 있습니다. 네트워크 침입 방지 시스템은 네트워크 간 또는 네트워크 구성 요소 간의 독립 하드웨어 장치로 트래픽을 차단하고 과거 패킷에 대한 심층 검사를 수행한 다음 해제 여부를 결정합니다. 네트워크 침입 방지 시스템은 바이러스 특성과 이상 프로토콜을 통해 유해 코드의 전파를 막는다. 일부 네트워크 침입 방지 시스템은 의심스러운 코드에 대한 답을 추적하고 표시한 다음 누가 이러한 답변을 사용하여 연결을 요청하는지 확인함으로써 침입을 보다 잘 확인할 수 있습니다. 유해 코드가 보통 정상 프로그램 코드 중간에 잠복해 실행되는 특징에 따라 독립 실행형 침입 방지 시스템은 Inter Explorer, Outlook 등과 같은 일반 프로그램을 모니터링합니다. . 서버, 라우터, 방화벽 등과 같은 네트워크의 중요한 독립 실행형 및 장치를 보호하기 위해 운영 체제에 요청 명령을 보내고, 시스템 파일을 다시 작성하고, 외부 연결을 설정하는 것을 효과적으로 방지합니다. 이 시점에서 알려진 바이러스 특성과 사전 설정된 보안 규칙에 도움을 청할 필요가 없습니다. 일반적으로, 독립된 침입 방어 시스템은 대부분의 공격을 불가능하게 만들 수 있다. 우리는 침입이란 유해한 코드가 먼저 목적지에 도착한 다음 나쁜 일을 하는 것을 의미한다는 것을 알고 있다. 하지만 유해 코드는 방화벽 등 각종 방어선을 돌파해 목적지에 도착하는 특권을 누린다 해도 침입 방어 시스템 때문에 정당한 역할을 하지 못하고 원하는 목적을 달성할 수 없다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 유해코드 (미국 TV 드라마), 유해코드, 유해코드명언) 2000 년: 2000 년 9 월 18 일 Noorkice 는 업계 최초의 IPS 제품인 ——BlackICE Guard 를 출시했습니다. 처음으로 온라인 모드에서 우회 감지 기반 IDS 기술을 사용하여 네트워크 트래픽을 직접 분석하고 악성 패킷을 폐기합니다. 2002 ~ 2003 년: 이 시기에는 IPS 가 급속히 발전했다. 당시 제품의 발전과 시장의 인정에 따라 유럽과 미국의 일부 대형 보안업체들은 작은 회사를 인수하여 IPS 기술을 확보하고 자신의 IPS 제품을 선보였다. 예를 들어 ISS 가 Neurkice 를 인수하고 Proventia; 를 발표합니다. 스크린 회사는 OneSecure 를 인수하여 스크린-IDP 를 출시했습니다. 을 눌러 섹션을 인쇄할 수도 있습니다 맥피는 Intruvert 를 인수하고 IntruShield 를 출시했습니다. 씨스코, 시만텍, TippingPoint 등도 IPS 제품을 출시했습니다. 2005 년 9 월, 루몽 기술은 국내 최초로 완전히 자율적인 지적 재산권을 보유한 IPS 제품을 발표했다. 2007 년 Lenovo Network, Qiming Star, Tianrongxin 및 기타 국내 보안 회사는 기술 협력 및 OEM 을 통해 IPS 제품을 발표했습니다. 웜, 바이러스, 스파이웨어, 스팸, DDoS 등 점점 더 많은 혼합 위협과 해커 공격을 평가하려면 다양한 유형의 공격을 효과적으로 감지해야 할 뿐만 아니라 공격의 영향을 줄여 비즈니스 시스템의 연속성과 가용성을 보장해야 합니다. 우수한 네트워크 침입 방지 시스템은 다음과 같은 특징을 갖추어야 합니다. ● 고성능 요구 사항을 충족하고, 강력한 분석 및 처리 기능을 제공하며, 정상적인 네트워크 통신의 품질을 보장합니다. ● 다양한 공격에 대한 실시간 탐지 및 방어 기능을 제공하며, 풍부한 액세스 제어 기능을 갖추고 있으며, 무단 활동이 시작되기 전에 공격을 발견하고, 공격이 기업에 미칠 수 있는 손실을 피하거나 완화합니다. 모든 종류의 네트워크 트래픽을 정확하게 식별하고, 누락률과 오보율을 낮추고, 정상적인 업무 통신에 영향을 주지 않도록 합니다. ● 포괄적이고 정확한 흐름 제어 기능을 통해 기업의 핵심 비즈니스를 지속적으로 안정적으로 운영할 수 있습니다. ● BYPASS (하드웨어, 소프트웨어), HA 등의 신뢰성을 보장하는 풍부한 고가용성 ● 확장 가능한 다중 링크 IPS 보호 기능으로 불필요한 중복 보안 투자를 방지합니다. ● 온라인 및 우회 모드 배포를 지원하는 유연한 배포 모델을 제공하고, 엔터프라이즈 네트워크 외부에서 공격을 차단하며, 다양한 고객의 요구에 적합한 우회 모드 배포를 지원합니다. ● 계층형 배포 및 중앙 집중식 관리를 지원하여 다양한 규모의 네트워크 사용 및 관리 요구 사항을 충족합니다. 제품 예 네트워크 침입 방지 시스템은 유사한 네트워크 침입 방지 시스템 제품의 고전적인 예입니다. 이 제품은 고성능, 보안, 신뢰성 및 운영이 용이한 기능이 고도로 통합되어 있습니다. 이 제품에는 심층 침입 방지, 세밀한 흐름 제어, 전체 사용자 인터넷 행동 감독 등의 기능을 갖춘 고급 웹 신용 메커니즘이 내장되어 있어 사용자에게 심층 공격 방어 및 대역폭 보호를 위한 완벽한 가치 환경을 제공합니다. 침입 방지 해커 공격, 웜, 네트워크 바이러스, 백도어 트로이 목마, D.o.S 등 악의적인 트래픽을 실시간으로 차단하고 기업 정보 시스템과 네트워크 아키텍처를 침해로부터 보호하며 운영 체제와 어플리케이션의 손상이나 가동 중지 시간을 방지합니다. 웹 보안은 인터넷 사이트에 대한 테스트 결과와 URL 신용도 평가 기술을 결합하여 사용자가 트로이 목마와 같은 악성 코드가 있는 웹 사이트를 방문할 때 침해로부터 사용자를 보호하고 적시에 웹 위협을 효과적으로 차단하는 것입니다. 흐름 제어는 모든 무단 사용자의 트래픽을 차단하고, 합법적인 네트워크 자원의 이용을 관리하며, 핵심 어플리케이션의 연중무휴 24 시간 원활한 흐름을 보장하고, 핵심 어플리케이션 대역폭을 보호하여 기업 IT 출력과 수익성을 지속적으로 향상시킵니다. 인터넷 규제는 IM 인스턴트 메시징, P2P 다운로드, 온라인 게임, 온라인 비디오, 인터넷 주식 거래 등의 네트워크 동작을 종합적으로 모니터링하고 관리하여 기업이 무단 네트워크 트래픽을 식별하고 제한하여 보안 정책을 더 잘 구현할 수 있도록 지원합니다. 최근 몇 년 동안 시스템 IPS 의 현재 상황은 점점 더 보편화되고 있습니다. 특히 공급업체가 인식 구축 및 가용성 어려움과 같은 NAC 시장의 초기 과제를 해결할 때 더욱 그렇습니다. 현재 대부분의 대규모 조직은 IPS 를 완전히 구축했지만, NAC 를 사용하기 전에 이러한 솔루션은 회사 네트워크의 새로운 공격을 방지하는 것으로 어느 정도 제한됩니다. 네트워크의 악성 트래픽 또는 기타 불필요한 트래픽을 차단하도록 모든 IPS 탐지기를 구성할 수 있습니다. 예를 들어, 특정 터미널이 회사 데이터 센터의 어플리케이션 서버를 공격하고 IPS 가 트래픽이 악의적이라는 것을 감지하면 IPS 는 구성된 정책을 통해 트래픽을 중단할 수 있습니다. 이 응답만으로도 충분하지만 경우에 따라 향후 네트워크에 대한 공격을 더욱 방지할 수 있습니다. NAC 는 IPS 장치에서 정보를 가져와 공격이나 사고 발생 시 최종 사용자 액세스를 처리하는 데 사용할 수 있습니다.