Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPS 시그니처 이해

침입 방지 시스템(IPS)은 알려진 위협의 시그니처와 트래픽을 비교하여 위협이 탐지되면 트래픽을 차단합니다. 네트워크 침입은 네트워크 리소스에 대한 공격 또는 기타 오용입니다. 이러한 활동을 탐지하기 위해 IPS는 서명을 사용합니다. 시그니처는 디바이스가 감지하고 보고할 네트워크 침입 유형을 지정합니다. 시그니처와 일치하는 트래픽 패턴이 발견될 때마다 IPS는 알람을 트리거하고 트래픽이 목적지에 도달하지 못하도록 차단합니다. 서명 데이터베이스는 IPS의 주요 구성 요소 중 하나입니다. 여기에는 IPS 정책 규칙을 정의하는 데 사용되는 공격 객체, 애플리케이션 시그니처 객체, 서비스 객체 등 다양한 객체의 정의가 포함됩니다.

IPS 정책을 체계적이고 관리하기 쉽게 유지하기 위해 공격 객체를 그룹화할 수 있습니다. 공격 객체 그룹에는 하나 이상의 공격 객체 유형이 포함될 수 있습니다. Junos OS는 다음과 같은 세 가지 유형의 공격 그룹을 지원합니다.

  • IPS 시그니처 - 시그니처 데이터베이스에 있는 개체를 포함합니다.

  • 동적 그룹 - 특정 일치 기준에 따른 공격 객체를 포함합니다. 시그니처를 업데이트하는 동안 동적 그룹 구성원은 해당 그룹의 일치 기준에 따라 자동으로 업데이트됩니다. 예를 들어 동적 공격 그룹 필터를 사용하여 특정 애플리케이션과 관련된 공격을 동적으로 그룹화할 수 있습니다.

  • 정적 그룹 - 공격 정의에 지정된 공격 목록을 포함합니다.

시그니처 공격 객체는 상태 저장 공격 시그니처(공격의 특정 섹션 내에 항상 존재하는 패턴)를 사용하여 알려진 공격을 탐지합니다. 여기에는 다음이 포함됩니다.

  • 공격을 수행하는 데 사용되는 프로토콜 또는 서비스 및 공격이 발생하는 컨텍스트입니다.

  • 시그니처 공격과 관련된 속성 - 공격 컨텍스트, 공격 방향, 공격 패턴 및 프로토콜별 매개 변수(TCP, UDP, ICMP 또는 IP 헤더 필드).

특정 정상적인 네트워크 활동이 악의적인 것으로 해석될 수 있기 때문에 서명은 오탐을 생성할 수 있습니다. 예를 들어 일부 네트워크 응용 프로그램이나 운영 체제는 수많은 ICMP 메시지를 보내는데, 서명 기반 탐지 시스템은 이러한 메시지를 공격자가 네트워크 세그먼트를 매핑하려는 시도로 해석할 수 있습니다. 서명을 미세 조정하기 위해 서명 매개 변수를 편집하여 오탐을 최소화할 수 있습니다.

Security Director의 IPS 정책 서명 페이지에서 IPS 서명을 생성, 필터링, 수정 또는 삭제할 수 있습니다. 서명 데이터베이스를 보안 디바이스에 다운로드하여 설치할 수 있습니다. 다운로드 및 설치 작업을 예약하고 이러한 작업이 특정 시간 간격으로 되풀이되도록 구성하여 다운로드 및 설치 프로세스를 자동화할 수 있습니다. 이렇게 하면 서명 데이터베이스가 최신 상태로 유지됩니다.

관련 문서