1. 침입차단 시스템(Firewall)

• 스크리닝 라우터(Screening Router)

헤더부분에 포함된 내용만 분석하여 동작(Perm/Drop)
필터링 속도가 빠르고 비용 적음
클라이언트와 서버 환경 변화 없이 설치가 가능
전체 네트워크에 동일한 보호 유지
OSI 3,4꼐층만 방어하여 필터링 규칙을 검증하기 어려움
패킷 내의 데이터는 차단 불가 및 로그 관리가 어려움
애플리케이션에서 전송하는 웹셀(WebShell)을 필터링 할 수는 없다

• 버스천호스트(Bastion Host)

내부 네트워크 전체를 보호
스크리닝 라우터 보다 안전
Logging 정보 생성 관리가 편리
접근제어와 인증 및 로그 기능 제공
Bastion Host 손상 시 내부 망 손상
로그인 정보 유출 시 내부 망 침해 가능

• 듀얼 홈드 호스트(Dual-Homed Host)

2개의 네트워크 인터페이스를 가진 Bastion Host 로서 2개의 NIC
방화벽은 하나의 네트워크에서 다른 네트워크로 IP 패킷을 라우팅하지 않기 때문에 Proxy 기능을 부여
정보 지향적인 공격 방어
Logging 정보 생성 관리가 편리
설치 및 유지보수가 쉬움
방화벽에서 보안 위반 초래 가능
서비스가 증가할수록 Proxy 구성 복잡

• 스크린드 호스트(Screened Host)

Packet Filtering Router + Bastion Host 로 구성
외부와 내부에서 발생되는 패킷을 검사하고 외부에서 내부로 유입되는 패킷은 Bastion Host 로 검사된 패킷을 전달
Bastion Host 인증 담당
2단계 방어 이므로 매운 안전
네트워크 계층과 응용계층 방어로 안전
가장 많이 사용, 융통성 우수
Dual-Homed 장점 유지

• 스크린드 서브넷(Screened Subnet)

두개의 스크리닝 라우터와 한 개의 Bastion Host를 사용한 형태, 안전한구조
구축 비용이 많이 발생
외부 네트워크와 내부 네트워크 사이에 하나 이상의 경제 네트워크를 두어 내부 네트워크를
외부 네트워크로 분리하기 위한 구조
스크리닝 호스트 구조의 장점 유지
가장 안전한 구조
설치 및 관리가 어려움

• SPI(Stateful Packet Inspection) : 상태기반 패킷검사

TCP 프로토콜을 사용하여 패킷을 처리하는 기술로 TCP 스트림(Stream) 세션에 대한 상태를 추적하여 침입여부를 판단하는
침입차단 시스템의 새로운 매커니즘
상태정보를 기억하고 있고 상태정보를 활용하여 필터링을 수행하는 것으로 패킷의 헤더 및 패킷의 컨텐츠를 해석하여 
접근제어 룰을 적용할수가 있다. 상태 패킷검사는 TCP와 UDP에 대한 정보를 추적 관리한다.

• DPI(Deep Packet Inspection) : 심층 패킷 분석

OSI 7계층에서 5부터 7계층(전계층) 에서 패킷을 분석할 수 있는 것으로 모든 내부 컨텐츠를 파알하고 필터링을 수행
가장 막강한 필터링을 수행하는 것으로 세부적인 애플리케이션의 활동까지 모두 파악할 수 있어 가장 강력한 침입차단 시스템이다.

2. 침입탐지 시스템(Intrustion Dection System)

• Data Source 에 따른 탐지

실시간으로 로그를 분석하여 침입여부를 판단하고 자동 통지 해주는 보안 솔류션
탐지를 수행할 때 로그를 분석해서 수행을 하는데 그 로그가 호스트(서버)에 있는 로그를 분석해서 해당 호스트에 침입여부를 탐지하면
Host Based Detection 이고 네트워크 패킷(Packet) 정보 및 라우터, 침입차단 시스테의 로그를 분석해서 탐지를 수행하면 
Network Bases Detection이다
호스트와 네트워크 모두를 수행하면 Multi-Host Based Detection

• Detection Method 에 따른 탐지

오용탐지(Misuse Detection)

침입패턴(Rule Set)을 저장하고 있다고 이와 동일 행위가 발생되면 침입으로 판단
오탐율이 낮음, 알려지지 않은 패턴은 탐지할 수가 없다
시그니처(Signature)기반, 지식(Knowlede)기반 탐지법
미리 정의된 Rule에 매칭
이미 정립된 공격패턴을 미리 입력하고 매칭
패턴 비교, 전문가 시스템
빠른속도, 구현이 쉬움, 이해가 쉬움
False Positive 가 낮음 (오탐) - false(+)
False Negative 큼 (미탐) - false(-)
알려지지 않은 공격 탐지 불가
대량의 자료를 분석 부적합

이상탐지(Anomaly Detection)

정상적인 패턴을 저장하고 이와 다르면 모두 침입으로 탐지하는 방법
알려지지 않은 공격 패턴도 탐지
오탐율이 높은 문제점
프로파일(Profile)기반, Behavior 기반, Statistical 기반
미리 학습된 사용자자 패턴에 어긋남
정상적, 평균적 상태를 기준, 급격한 변화 있을때 침입판단
신경망, 통계적 방법, 특징추출
알려지지 않는 공격(Zero Dat Attack) 대응가능
사용자가 미리 공격패턴을 정의 할 필요 없음
정상인지, 비정상 결정하는 임계치 설정 어려움
False Positive 가 큼 (오탐) - false(+)
False Negative 낮음 (미탐) - false(-)
구현이 어려움

False Positive: false(+)로 표현, 공격이 아닌데도 공격이라고 오판하는것
False Negative: false(-)로 표현, 공격인데도 공격이 아니라 오판 하는것

침입탐지 시스템에서 False Positive 라는 것은 침입이 아닌데 침입이라고 탐지하는 것을 의미하고
False Negative 는 침입인데 침입이라고 탐지를 못하는것을 의미하며 오용탐지는
False Positive 는 낮지만 False Negative 가 크다. 즉, 침입을 탐지 못하는 문제가 있고
이것은 정해진 패턴(Rule Set)만 탐지하기 때문이다.
반대로 이상탐지는 False Positive가 큰 문제점이 있는데 이것은 정상적인 행위와 다른 것은 모두
침입이라고 탐지하기 때문에 사용자가 조금만 정상적인 행위와 다른 행동을 하면 침입이 아닌데 침입으로 탐지하는것이다.

• ESM : Enterprise Security Management - 전사적인(통합) 보안관리 시스템

보안관제 통합보안솔류션
로그 정규화 통합모니터링
Agent 설치

• SIEM : Security Information & Event Management - 보안정보및 이벤트 관리

ESM + 정보유출 탐지, 로그의 접속기록보관및 모니터링 
알려지지않은 보안위협(상관) 분석 
지능형 보안(Security Intelligence) - APT 공격 대응