[보안_GPT] IPS란?

🔥 1. IPS란?

정의:
IPS는 네트워크나 시스템에 들어오는 악성 트래픽이나 공격 시도를 실시간으로 탐지하고 차단하는 보안 장치야.

즉:

👉 “침입을 사전에 막는 보안 장치로, 공격 트래픽을 감지하고 자동으로 차단까지 수행”

• IDS(Intrusion Detection System)와 달리 탐지 + 차단 기능 포함
• 네트워크와 서버를 보호하는 사전 방어 수단

---

🔹 2. IPS vs IDS 비교

구분IDSIPS

역할	공격 탐지 및 알람	공격 탐지 + 차단
위치	네트워크 패킷 미러링	트래픽 라인 상에서 실시간 검사
대응	수동 대응	자동 차단 가능
예시	SIEM 연동 알람	방화벽과 연동해 트래픽 차단

---

🔹 3. IPS 동작 방식

1️⃣ 트래픽 모니터링

• 패킷, 세션, 프로토콜 분석

2️⃣ 공격 탐지

• 시그니처 기반: 이미 알려진 공격 패턴 탐지
• 이상행위 기반(Anomaly-based): 정상 트래픽과 다른 패턴 탐지
• 상태 기반(Stateful): 연결 상태 및 프로토콜 비정상 탐지

3️⃣ 자동 차단/격리

• 공격 트래픽 DROP
• 세션 종료, IP 차단, 관리자 알람

4️⃣ 로그 기록 및 보안관제 연동

• SIEM/보안관제와 연계해 추후 분석

---

🔹 4. IPS가 보호하는 공격 유형

• DDoS / DoS 공격
• 포트 스캐닝, 취약점 공격
• SQL Injection, XSS 등 웹 공격
• 악성코드/봇넷 트래픽
• ARP 스푸핑, 패킷 변조 등 내부 공격

---

🔹 5. IPS 장점

• 실시간 공격 차단 → 피해 최소화
• 알려진 공격과 Zero-day 공격 일부 대응
• 네트워크 가시성 확보 → 보안 관제 강화
• IDS 대비 자동 대응 가능

---

🔹 6. IPS 설치 위치

• 네트워크 라인 기반: 스위치/라우터 앞단, 트래픽 통과 시 검사
• 호스트 기반(HIPS): 서버 내 설치, OS·애플리케이션 레벨 보호

---

🎯 한 문장 요약

IPS = 네트워크나 시스템으로 들어오는 공격 트래픽을 실시간으로 탐지하고 자동으로 차단하여 사전 침입 방어를 수행하는 보안 장치